Ahmad VIADERE, auteur/autrice sur SECWAN

Erreurs fréquentes WordPress : Sécurité & Performance

VIADERE Ahmad — Thu, 30 Mar 2023 15:24:00 +0000

Aujourd’hui, la cybersécurité et l’architecture système sont devenues des éléments essentiels à prendre en compte lors de la gestion d’un site Web. En tant que consultant en cybersécurité et architecture système, je vais vous guider à travers les erreurs fréquemment rencontrées sur les sites Web WordPress et vous montrer comment les éviter.

L’objectif de ce blog est de vous aider, propriétaires et administrateurs de sites Web, à identifier et corriger ces erreurs pour assurer la sécurité, la performance et la stabilité de votre site.

Dans cet article, nous examinerons les erreurs courantes en matière de cybersécurité telles que l’utilisation de thèmes et plugins non sécurisés, la mauvaise gestion des mots de passe et la négligence des mises à jour.

En suivant les conseils et les meilleures pratiques présentés dans cet article, vous serez en mesure de renforcer la sécurité et d’optimiser les performances de votre site WordPress.

Erreurs courantes site WordPress

Utilisation de thèmes et plugins non sécurisés

L’une des erreurs les plus courantes en matière de sécurité sur les sites WordPress est l’utilisation de thèmes et de plugins non sécurisés. Pour éviter cela, assurez-vous de choisir des thèmes et plugins provenant de sources fiables et réputées, tels que le répertoire officiel WordPress ou des développeurs de confiance.

Aussi, pensez à mettre régulièrement à jour vos thèmes et plugins pour corriger les éventuelles vulnérabilités et assurer leur compatibilité avec les nouvelles versions de WordPress !

Mauvaise gestion des mots de passe

La gestion des mots de passe est essentielle pour garantir la sécurité de votre site Web. Utilisez des mots de passe forts et uniques pour les comptes administrateurs et les autres utilisateurs de votre site.

Évitez les mots de passe faciles à deviner et favorisez les combinaisons complexes incluant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Pensez aussi à activez l’authentification à deux facteurs (2FA), pour ajouter une couche de sécurité supplémentaire.

Négliger les mises à jour de WordPress et de ses composants

Les mises à jour de WordPress et de ses composants, tels que les thèmes et les plugins, sont cruciales pour maintenir la sécurité de votre site. Les développeurs publient régulièrement des mises à jour pour corriger les failles de sécurité et améliorer les fonctionnalités.

Négliger ces mises à jour peut exposer votre site à des risques !

Ne pas effectuer de sauvegardes régulières

Les sauvegardes régulières de votre site Web sont essentielles pour vous assurer que vous pouvez récupérer rapidement et facilement en cas de problème de sécurité ou de dysfonctionnement.

Investissez dans des solutions de sauvegarde automatisées pour gagner du temps et réduire les risques d’erreurs humaines. Stockez vos sauvegardes dans un emplacement sécurisé, distinct de votre hébergement principal, et effectuez des tests de restauration pour vous assurer que vous êtes prêt en cas d’urgence.

Erreurs courantes en architecture système sur les sites WordPress

Mauvaise configuration du cache

La configuration optimale du cache est essentielle pour améliorer les performances de votre site WordPress. Une mauvaise configuration peut entraîner des problèmes de chargement et une expérience utilisateur médiocre.

Utilisez des plugins de cache fiables et performants, comme WP Rocket ou W3 Total Cache, pour mettre en cache les pages de votre site et réduire le temps de chargement. Assurez-vous de configurer correctement les paramètres du plugin en fonction de vos besoins spécifiques.

Absence d’un CDN (Content Delivery Network)

L’utilisation d’un CDN (Content Delivery Network) peut considérablement améliorer les performances et la disponibilité de votre site. Un CDN distribue votre contenu à travers un réseau de serveurs situés dans différents endroits géographiques, ce qui permet de réduire la latence et d’accélérer le chargement des pages pour les visiteurs.

Si vous n’avez pas encore intégré un CDN à votre site, envisagez d’utiliser des services populaires tels que Cloudflare, Amazon CloudFront ou Fastly pour optimiser votre performance globale.

Non-optimisation des images et des médias

L’optimisation des images et des médias est cruciale pour assurer un temps de chargement rapide et une meilleure expérience utilisateur. Utilisez des plugins d’optimisation d’images, comme ShortPixel ou Imagify, pour compresser automatiquement les images sans perte de qualité significative.

Choisissez également des formats d’image adaptés, tels que WebP, pour améliorer la vitesse de chargement et réduire la consommation de bande passante.

Utilisation excessive de plugins et widgets

L’ajout de trop nombreux plugins et widgets peut nuire aux performances de votre site. Évaluez régulièrement les plugins et widgets installés sur votre site pour déterminer s’ils sont nécessaires et utiles.

Désactivez et supprimez ceux qui ne sont plus utilisés ou qui présentent des problèmes de performance. Privilégiez des solutions légères et bien conçues pour minimiser l’impact sur les ressources du serveur et garantir un site rapide et réactif.

Que devons nous donc retenir ?

En somme, la sécurité et la configuration système jouent un rôle crucial dans la réussite d’un site. En évitant les erreurs courantes et en appliquant les meilleures pratiques, vous pouvez renforcer la sécurité de votre site, optimiser ses performances et offrir une expérience utilisateur de qualité.

Pour récapituler, assurez-vous d’utiliser des thèmes et plugins sécurisés, de gérer correctement les mots de passe, d’effectuer des mises à jour régulières, de configurer le cache, d’intégrer un CDN, d’optimiser les images et les médias, et de limiter l’utilisation de plugins et widgets inutiles.

Petit plus

Je vous encourage à partager vos propres expériences, conseils et solutions pour améliorer la vos sites Web. Votre contribution est précieuse pour aider la communauté à créer des sites plus sûrs et performants. N’hésitez pas à laisser un commentaire ci-dessous et à partager cet article avec votre réseau.

De plus, pour ne rien manquer des futurs articles sur la sécurité et l’optimisation des sites Web, suivez-moi sur les réseaux sociaux.

Vous pouvez aussi consulter les autres articles de mon blog ci-dessous :

Lien ici

L’article Erreurs fréquentes WordPress : Sécurité & Performance est apparu en premier sur SECWAN.

Hébergement web : Comment choisir votre hébergeur web

VIADERE Ahmad — Thu, 23 Mar 2023 10:15:49 +0000

De quoi parle-t-on déjà ?

L’hébergement web est un élément essentiel dans la création et la gestion d’un site web. Il s’agit du lieu où les fichiers du site web sont stockés et accessibles aux visiteurs. Le choix de l’hébergeur web est donc crucial, car il peut avoir un impact important sur la disponibilité, la sécurité, les performances et le support de votre site web.

Dans cet article, nous allons aborder l’importance de bien choisir son hébergeur web et les critères à prendre en compte pour faire le bon choix.

Lorsque vous choisissez un hébergeur web, il faut avoir à l’esprit que les différents fournisseurs d’hébergement web offrent des niveaux de service différents. Il est donc nécessaire de choisir un hébergeur qui répondra aux besoins spécifiques de votre site web, en fonction de son trafic, de sa taille, de ses fonctionnalités, de son contenu, etc…

Les critères clés pour choisir un hébergeur web de qualité incluent la disponibilité et la fiabilité, la sécurité, les performances, le support et le service client. Chacun de ces critères est important à sa manière, et il est essentiel de les prendre en compte lors de la sélection d’un hébergeur web pour votre site web.

La disponibilité et la fiabilité de l’hébergement web

La disponibilité et la fiabilité sont des critères essentiels pour évaluer la qualité de l’hébergement web. La disponibilité se réfère au temps pendant lequel votre site web est accessible aux visiteurs. La fiabilité se réfère à la capacité de l’hébergeur web à garantir que votre site web sera toujours en ligne, sans interruptions ou pannes de service.

Le taux de disponibilité et de fiabilité dépend de la qualité de l’infrastructure et des technologies utilisées par l’hébergeur web. Les hébergeurs web de qualité supérieure disposent souvent de serveurs de haute qualité, de technologies de pointe pour la gestion de la charge, de mécanismes de sauvegarde et de redondance, ainsi que d’un personnel technique compétent et expérimenté.

Il est crucial de choisir un hébergeur web qui offre une disponibilité et une fiabilité élevées, car cela garantira que votre site web sera accessible à tout moment pour vos visiteurs. Un site web indisponible ou instable peut entraîner une perte de trafic, de clients et de revenus, ainsi qu’une détérioration de votre réputation en ligne.

Pour évaluer la disponibilité et la fiabilité de l’hébergeur web, il est recommandé de rechercher des avis et des commentaires d’utilisateurs en ligne, de vérifier les garanties de disponibilité offertes par l’hébergeur, et de vérifier les technologies utilisées pour assurer la disponibilité et la fiabilité.

La sécurité de l’hébergement web

La sécurité est un critère crucial à prendre en compte lors du choix d’un hébergeur web. Un site web vulnérable aux attaques peut être compromis, entraînant une perte de données, une détérioration de la réputation en ligne, et même une violation de la confidentialité des utilisateurs.

C’est une nécessité de choisir un hébergeur web qui offre des mesures de sécurité robustes pour protéger votre site web contre les menaces courantes, telles que les attaques par déni de service (DDoS), les piratages et les injections SQL pour ne citer qu’eux !

Les hébergeurs web fiables ont des politiques de sécurité rigoureuses en place, ainsi que des technologies de pointe pour la détection et la prévention des attaques.

En plus des mesures de sécurité de l’hébergeur web, il est également important de prendre en compte les mesures de sécurité que vous pouvez prendre vous-même pour protéger votre site web. Cela peut inclure l’utilisation d’un mot de passe sécurisé pour l’accès au site web, la mise à jour régulière de votre site web et des extensions utilisées, l’utilisation d’un certificat SSL pour protéger les données des utilisateurs, et la surveillance régulière de l’activité du site ou applicatif.

Les performances de l’hébergement web

Les performances de l’hébergement web peuvent avoir un impact significatif sur l’expérience utilisateur et le référencement naturel de votre site web. Les performances peuvent être affectées par des facteurs tels que la vitesse de chargement des pages, la capacité à gérer le trafic élevé, et la capacité à gérer les requêtes simultanées.

Les performances peuvent donc affecter le référencement naturel de votre site web. Les moteurs de recherche, tels que Google, accordent une importance croissante à la vitesse de chargement des pages pour le classement des sites web dans les résultats de recherche.

Pour évaluer les performances de l’hébergeur web, je vous recommande de tester la vitesse de chargement des pages avec des outils tels que Google PageSpeed Insights, et de vérifier les technologies utilisées pour améliorer les performances de l’hébergement web.

Le support et le service client de l’hébergement web

Le support et le service client sont des critères importants à prendre en compte lors du choix d’un hébergeur web. En cas de problèmes techniques ou de questions concernant votre compte d’hébergement, vous voulez être sûr que vous pouvez obtenir une assistance rapide et efficace.

Les hébergeurs offrent souvent un support technique 24 heures sur 24, 7 jours sur 7, par téléphone, e-mail ou chat en direct. Ils ont également des connaissances approfondies des technologies utilisées pour l’hébergement web et sont en mesure de résoudre rapidement les problèmes techniques.

Il est également important de considérer la qualité du service client de l’hébergeur web. Les hébergeurs ont souvent une équipe de service client professionnelle et plus ou moins amicale, qui est disponible pour répondre à toutes vos questions et vous aider à résoudre les problèmes de facturation ou de compte.

Les coûts de l’hébergement web

Les coûts sont évidemment un facteur important à prendre en compte lors du choix de son hébergeur ! Les coûts varient en fonction de différents facteurs tels que la qualité de l’hébergement, les fonctionnalités incluses et les niveaux de support.

Il est important de trouver un équilibre entre le coût et la qualité de l’hébergement web.

Il est recommandé de comparer les coûts de différents hébergeurs et de prendre en compte les fonctionnalités et les niveaux de support offerts. Il faut également comprendre les coûts cachés, tels que les frais de renouvellement et les frais supplémentaires pour des fonctionnalités spécifiques.

Que pouvons nous retenir ?

Le choix de l’hébergement web est une décision importante pour tout propriétaire de site web. Il est important de prendre en compte plusieurs facteurs tels que la fiabilité, la sécurité, les performances, le support et le service client, et les coûts.

Un hébergeur web de qualité peut offrir des performances élevées, des mesures de sécurité robustes, un support technique 24 heures sur 24 et une politique de satisfaction client solide, mais cela peut également coûter plus cher que les hébergeurs web moins chers.

Il est important de rechercher des avis et des commentaires d’utilisateurs en ligne, de comparer les plans d’hébergement web de différents hébergeurs, et de vérifier les politiques de facturation et les coûts cachés pour trouver l’hébergeur web qui répond le mieux à vos besoins.

En prenant le temps de rechercher et de choisir le bon hébergeur, vous pouvez garantir la fiabilité, la sécurité et les performances de votre site web, et offrir une expérience utilisateur optimale à vos visiteurs en ligne.

Pour aller plus loin

N’hésitez pas à consulter les autres articles de mon blog en cliquant ici pour d’autres informations sur le sujet.

L’article Hébergement web : Comment choisir votre hébergeur web est apparu en premier sur SECWAN.

Télétravail et sécurité des données

VIADERE Ahmad — Mon, 13 Mar 2023 11:40:33 +0000

Avec la pandémie de COVID-19 qui a forcé de nombreuses entreprises à adopter le télétravail, la cybersécurité est devenue une préoccupation majeure pour les dirigeants.

Les employés travaillant à domicile peuvent être vulnérables aux attaques de cybercriminels, et les entreprises peuvent être exposées à des risques de sécurité importants. C’est pourquoi il est essentiel de mettre en place des mesures de cybersécurité pour protéger les données et les informations sensibles des entreprises.

Dans cet article, nous examinerons les risques de sécurité courants en télétravail, ainsi que les meilleures pratiques pour garantir la sécurité en ligne des employés travaillant à domicile. Nous discuterons également de la manière de gérer la sécurité de l’infrastructure en télétravail et de la nécessité de politiques de gouvernance pour garantir la conformité réglementaire.

Les risques de sécurité en télétravail

Le travail à distance présente des risques de sécurité spécifiques, que les entreprises doivent prendre en compte. Les employés peuvent être tentés de travailler sur des ordinateurs personnels ou des appareils mobiles non sécurisés, ou d’utiliser des réseaux Wi-Fi publics non sécurisés. Cela peut créer des vulnérabilités de sécurité qui peuvent être exploitées par des cybercriminels. Voici quelques risques de sécurité courants en télétravail :

A. Attaques de phishing : Les cybercriminels peuvent envoyer des e-mails de phishing ou des messages sur les réseaux sociaux pour tenter de tromper les employés et de les amener à divulguer des informations confidentielles ou à installer des logiciels malveillants.

B. Logiciels malveillants : Les employés peuvent installer des logiciels malveillants sur leur ordinateur ou leur appareil mobile en visitant des sites web non sécurisés ou en ouvrant des pièces jointes infectées. Les logiciels malveillants peuvent ensuite être utilisés pour accéder à des informations confidentielles de l’entreprise.

C. Ransomwares : Les ransomwares sont des logiciels qui bloquent l’accès à l’ordinateur ou à l’appareil mobile d’un employé et demandent une rançon pour rétablir l’accès. Les entreprises peuvent être prises en otage par des ransomwares si les employés ne prennent pas de mesures de sécurité adéquates.

D. Vulnérabilités des appareils personnels : Les employés peuvent utiliser leurs appareils personnels pour travailler, ce qui peut présenter des risques de sécurité si ces appareils ne sont pas correctement sécurisés. Les entreprises doivent s’assurer que les employés ont des politiques claires pour l’utilisation des appareils personnels, y compris les mises à jour des logiciels de sécurité et la configuration de mots de passe sécurisés. Bien entendu l’idéal est quand même l’interdiction des appareils personnels afin de limiter les risques !

E. Réseaux Wi-Fi publics : Les salariés peuvent être tentés d’utiliser des réseaux Wi-Fi publics non sécurisés pour se connecter à Internet. Cependant, ces réseaux sont souvent vulnérables aux attaques, ce qui peut compromettre la sécurité des données.

Meilleures pratiques pour assurer la sécurité en télétravail

Afin de protéger les données et les informations sensibles de l’entreprise, il est important de mettre en place des mesures de sécurité pour les employés travaillant à domicile. Voici quelques-unes des meilleures pratiques à suivre pour garantir la sécurité en ligne des employés en télétravail :

A. Formation des employés sur les bonnes pratiques de sécurité en ligne : Les employés doivent être formés sur les bonnes pratiques de sécurité en ligne, telles que la création de mots de passe forts, la protection des informations confidentielles et la détection des attaques de phishing. Les employés doivent également être formés sur les politiques de sécurité spécifiques de l’entreprise et sur les procédures de réponse aux incidents.

B. Utilisation d’outils de sécurité tels que des VPN, des pare-feu et des antivirus : Les entreprises doivent fournir à leurs employés des outils de « cybersécurité » pour protéger leurs ordinateurs et leurs appareils mobiles, tels que des VPN, des pare-feu et des antivirus. Les VPN peuvent être utilisés pour chiffrer la connexion Internet des employés et les protéger contre les attaques, tandis que les pare-feu et les antivirus peuvent aider à prévenir les attaques de logiciels malveillants.

C. Politique de sécurité des appareils personnels utilisés pour le travail : Il est important de mettre en place une politique claire pour l’utilisation des appareils personnels des employés à des fins professionnelles. Cette politique doit inclure des exigences en matière de logiciels de sécurité, de mises à jour de sécurité et de mots de passe sécurisés pour garantir que les appareils personnels des employés ne présentent pas de risques pour la sécurité de l’entreprise.

D. Protocoles de sécurité de l’accès à distance : Mettre en place des protocoles de sécurité pour l’accès à distance aux systèmes de l’entreprise. Cela peut inclure l’utilisation d’authentification à deux facteurs, l’accès limité aux informations sensibles et la surveillance de l’activité de connexion pour détecter les comportements suspects.

E. Comment gérer les accès et les identités des utilisateurs : Mettre en place des processus de gestion des identités et des accès pour les employés travaillant à domicile. Cela peut inclure la gestion des comptes d’utilisateur et des mots de passe, la révocation des droits d’accès lorsque les employés quittent l’entreprise, et la surveillance de l’activité des utilisateurs pour détecter les comportements suspects.

Gestion de la sécurité de l’infrastructure en télétravail

La gestion de la sécurité de l’infrastructure est essentielle pour garantir la sécurité des données et des informations sensibles de l’entreprise en télétravail. Voici quelques-unes des mesures à prendre pour protéger l’infrastructure de l’entreprise en télétravail :

A. Sujets de gouvernance tels que les audits de sécurité, la conformité réglementaire et les plans de réponse aux incidents : Les sociétés doivent mettre en place des politiques de gouvernance pour garantir la conformité réglementaire, la surveillance de la sécurité et la préparation aux incidents. Cela peut inclure des audits de sécurité réguliers pour détecter les vulnérabilités, des plans de réponse aux incidents pour gérer les violations de données et la conformité réglementaire pour garantir que l’entreprise respecte les réglementations en matière de protection des données.

B. Mise en place de processus de gestion des vulnérabilités : Il est nécessaire d’avoir des processus de gestion des vulnérabilités pour détecter et corriger les vulnérabilités de sécurité dans l’infrastructure de l’entreprise. Cela peut inclure la mise à jour régulière des logiciels de sécurité, la surveillance du traffic pour détecter les vulnérabilités et la correction des vulnérabilités détectées.

C. Établissement de politiques de conformité avec les normes de sécurité : Rédiger des politiques de conformité avec les normes de sécurité telles que les normes ISO et les normes PCI DSS. Cela peut aider à garantir que l’infrastructure de l’entreprise est conforme aux normes de sécurité les plus élevées, ce qui peut réduire les risques de violation de données.

Conclusion

Dans cet article, nous avons examiné les risques de sécurité courants en télétravail, ainsi que les meilleures pratiques pour assurer la sécurité en ligne des employés travaillant à domicile. Nous avons également vu la gestion de la sécurité de l’infrastructure en télétravail et l’importance de mettre en place des politiques de gouvernance, des processus de gestion des vulnérabilités et des politiques de conformité pour protéger l’entreprise contre les cyberattaques.

Finalement, la cybersécurité est un élément essentiel de la réussite de l’entreprise, que les employés travaillent dans un bureau ou à domicile. En suivant ces meilleures pratiques de cybersécurité, les entreprises peuvent protéger leurs données et leurs employés contre les cybercriminels en télétravail.

Aller plus loin

N’hésitez pas à consulter les autres articles du blog pour plus d’information sur le sujet

Lien du blog ici

L’article Télétravail et sécurité des données est apparu en premier sur SECWAN.

La cybersécurité et les petites entreprises

VIADERE Ahmad — Tue, 07 Mar 2023 12:37:29 +0000

La cybersécurité est un sujet crucial pour toutes les entreprises, grandes ou petites. Les petites entreprises sont souvent la cible privilégiée des cybercriminels, car elles sont souvent moins bien protégées que les grandes entreprises. Les attaques informatiques peuvent causer des pertes financières importantes, affecter la réputation de l’entreprise et entraîner des pertes de données critiques.

Dans cet article, nous allons discuter des mesures de prévention que les petites entreprises peuvent prendre pour se protéger contre les cybermenaces, ainsi que des actions à prendre en cas d’attaque. Nous allons également aborder les coûts associés aux cyberattaques pour les petites entreprises et expliquer pourquoi la cybersécurité est essentielle pour la pérennité de l’entreprise.

Suivez nos conseils pour protéger votre entreprise contre les menaces en ligne et pour garder vos données et votre réputation en sécurité.

La cybersécurité et menace pour les petites entreprises

Les petites entreprises sont particulièrement vulnérables aux cyberattaques en raison de leur taille et de leurs ressources limitées. Les types de cybermenaces courantes pour les petites entreprises incluent les logiciels malveillants, les attaques de phishing, les attaques par déni de service (DDoS), les attaques par force brute et les attaques de ransomware.

Ces cyberattaques peuvent entraîner des conséquences financières désastreuses, telles que la perte de revenus, les coûts de restauration des données et de remise en état des systèmes, ainsi que la perte de la confiance des clients.

En outre, les cyberattaques peuvent avoir un impact sur la réputation de l’entreprise, ce qui peut affecter la confiance des clients et la crédibilité de l’entreprise sur le marché. Les coûts liés aux cyberattaques peuvent également être élevés, surtout pour les petites entreprises qui ont des budgets limités. Les coûts directs incluent les coûts de récupération et de restauration des données, les coûts de remplacement des systèmes endommagés et les coûts de sécurité supplémentaires pour prévenir de futures attaques.

Les mesures de prévention

Les sociétés peuvent prendre plusieurs mesures pour se protéger contre les cybermenaces. Tout d’abord, il est important de réaliser une évaluation des risques pour identifier les vulnérabilités potentielles du système informatique de l’entreprise. Ensuite, il est recommandé de sécuriser l’accès aux différentes informations de l’entreprise en utilisant des mots de passe forts, des pare-feux et des systèmes d’authentification à deux facteurs par exemple.

Les mises à jour régulières des logiciels sont également essentielles pour maintenir la sécurité du système d’information, car les vulnérabilités connues sont souvent corrigées lors de ces mises à jour. Les employés doivent être sensibilisés aux bonnes pratiques de cybersécurité, notamment la protection des mots de passe, la gestion des emails et la reconnaissance des signaux d’alerte en cas de cyberattaques.

Enfin, la sauvegarde régulière des données est cruciale pour minimiser les pertes de données en cas d’attaques de ransomware ou d’autres types de cyberattaques. Les sauvegardes doivent être stockées sur des serveurs distants ou des supports externes tels que des disques durs chiffrés.

En suivant ces mesures de prévention, les petites entreprises peuvent réduire leur vulnérabilité aux cybermenaces et protéger leur entreprise contre les pertes financières et les impacts négatifs sur la réputation de l’entreprise.

Cybersécurité : Les actions à prendre en cas de cyberattaque

Même avec les meilleures mesures de prévention en place, il est toujours possible qu’une entreprise soit victime d’une cyberattaque. Il est donc important que les petites entreprises aient des plans d’urgence en place pour réduire les impacts négatifs d’une attaque.

Les premières étapes comprennent l’isolement de l’attaque et la collecte des informations nécessaires pour comprendre la nature de l’attaque. Ensuite, les entreprises doivent contacter les professionnels de la cybersécurité pour obtenir de l’aide pour éliminer la menace et récupérer les données.

Enfin, les entreprises doivent prendre des mesures pour améliorer leur sécurité à l’avenir en identifiant les lacunes dans leur système informatique et en mettant en place des mesures de sécurité supplémentaires pour empêcher de futures attaques.

Que pouvons nous retenir de la cybersécurité et les petites entreprises ?

La cybersécurité est une préoccupation majeure pour toute forme d’entreprise, et même les plus petites, qui sont souvent la cible privilégiée des cybercriminels en raison de leur taille et de leurs ressources limitées. Les cyberattaques peuvent entraîner des pertes financières importantes et affecter la réputation de l’entreprise.

En cas de cyberattaque, il est important que les entreprises prennent des mesures d’urgence pour réduire les impacts négatifs de l’attaque et améliorer leur sécurité pour l’avenir. En investissant dans la cybersécurité, les sociétés peuvent protéger leur activité et assurer leur pérennité à long terme.

En somme, la cybersécurité est une question cruciale pour toutes les entreprises, et les petites entreprises ne font pas exception. En suivant les meilleures pratiques de cybersécurité et en restant vigilantes contre les menaces en ligne, les entreprises peuvent assurer la sécurité de leurs données et de leur réputation, tout en évitant les coûts financiers et les pertes de revenus associés aux cyberattaques.

L’article La cybersécurité et les petites entreprises est apparu en premier sur SECWAN.

Les tests informatique en interne

VIADERE Ahmad — Tue, 29 Mar 2022 18:12:37 +0000

Les tests informatique en interne

Aujourd’hui, c’est un article qui porte sur un sujet très important ! En effet, les tests informatique en interne devraient figurer en top liste de nos tâches à faire dans le SI.

Tout d’abord, qu’est-ce que j’entends par les tests en interne ? Tout simplement cela consiste à tester les procédures qu’on a mises en place, tester nos solutions de backup, autant le fait de faire une sauvegarde, et surtout le fait de restaurer une sauvegarde pour la remettre en service, tester les applications, etc…
Je parle là vraiment de tester tout ce qu’on utilise dans le SI.

Pourquoi faire des tests en interne ?

Le fait d’être régulier dans nos tests, va permettre de voir s’il y a un souci, vérifier que tout fonctionne correctement, malgré des évolutions d’autres outils qui y sont liés, d’anticiper d’éventuels bugs, et bien d’autres avantages encore.
La liste est vraiment longue, il y a un grand intérêt majeur dans le fait d’effectuer ces tests !

Souvent, on va effectuer les tests avant la mise en production, même si j’ai connu aussi des cas où les tests n’ont pas été faits avant… Mais de manière générale, ils sont faits avant ! Ensuite, on laisse cette tâche de côté, et on y porte plus attention. C’est à ce moment ou c’est assez problématique, car oui ça peut tenir et fonctionner, mais cela peut aussi provoquer un enchaînement de problèmes….

Un cas concret peut-être ?

Je sais que cela peut sembler, un peu trop alarmiste, mais la réalité est bien là pour nous le prouver. Je m’explique, imaginons le cas d’un système de sauvegarde.

Pendant des années, on fait sauvegarde sur sauvegarde sans tester une récupération, puis un beau jour, on a besoin justement de récupérer une sauvegarde d’une machine ou d’un fichier, et là… On se rend compte que la procédure ne fonctionne pas, impossible de restaurer une sauvegarde !

Est-ce que vous imaginez les conséquences ? Cela peut être très grave et du coup causer de nombreux soucis.

Alors que si l’on effectue des tests réguliers, on peut se rendre compte s’il y a un souci ou pas, et surtout éviter ce genre de situation qui n’est pas du tout agréable.

Pourquoi ces tests ne sont parfois pas en place ?

Vous pouvez vous demander, pourquoi des gens ne mettent pas en place des procédures régulières de test ?

La réponse que personnellement, j’ai beaucoup entendu, c’est » Nous n’avons pas suffisamment de temps » ou » Non mais ça coûte trop cher de planifier cela « .

Bien entendu, il y en a plein d’autres des raisons, mais dans mon expérience à moi, c’est ce que j’ai souvent entendu. Ce que je réponds généralement à cela, c’est : justement, le fait de ne pas faire ces tâches de tests, peut coûter beaucoup d’argent, et bien plus même, que cela peut coûter pour mettre en place les tests !

Car imaginez-vous l’exemple précédent, où la restauration d’une sauvegarde ne fonctionne pas, et que cela concerne une machine importante. Le travail pour refaire ce qui a été fait, peut coûter vraiment cher, et même payer une prestation d’une société spécialisée dans le domaine, coûtera un sacré prix !

Donc au final, autant investir un peu et correctement dans ces tâches régulières, puis éviter des problèmes bien plus importants.

Quels sont les avantages d'avoir un protocole de test ?

Le fait d’avoir ce genre de protocole régulier, permettra au SI de faire évoluer les solutions mises en place, de voir des choses qui n’ont pas pu être vues auparavant, et oui je vais me répéter mais, bien entendu cela permet de gagner du temps à l’avenir.

Car on ne va pas perdre du temps, à debugger un souci qui aurait pu être évité, et on va aussi éventuellement faire des économies, car on anticipe les éventuels soucis qui peuvent survenir.

Comment faire pour mettre en place ce genre de protocole ?

Maintenant, qu’on a vu la partie « warning », on peut maintenant voir comment mettre en place ce genre de protocole de test.

Alors, l’idée n’est pas forcément de tout tester, car ça va demander une organisation assez importante et aussi des ressources en conséquence. Mais, on va plutôt mettre l’accent sur les choses très importantes, par exemple on va programmer des tests de restauration de sauvegarde grandeur nature tous les 3 mois, aussi on va programmer des tests de relance des serveurs en cas de coupure, voir si le tout fonctionne bien, si cela correspond au plan prévu pour la remise en production, puis on peut programmer des tests de coupure du lieu principal internet du siège, pour voir si le lien de secours fait bien le job de reprendre la main, les connexions aux autres sites, ou à la production se remettent correctement, etc…

Les tests sont à planifier selon vos exigences, et le directeur du système d’informations, ou le responsable infrastructure est à même de savoir, à quelle fréquence effectuer les tests, pour tenir un bon rythme, et avoir un SI qui est au mieux de sa forme.

N’oublions pas non plus, les tests applicatifs, ainsi que les tests des tâches qui se font de manière automatique. C’est-à-dire, souvent, on a des procédures qu’on automatise, notamment de nos jours, on automatise tout ce que l’on peut, donc encore plus important de vérifier le bon fonctionnement !

Par exemple pour un site internet, vérifier que le processus de mot de passe oublié fonctionne bien, vérifier que le processus de traitement automatique de fichier fonctionne correctement, etc…

La mise en place de ce genre de protocole et bien sûr à adapter selon la taille de votre structure, mais peu importe la taille de votre structure, faire ces tests sont très importants, car cela va vous permettre vraiment de gagner du temps, et de faire des économies sur le long terme.

Pour conclure, je dirais, prenez soin de votre SI, prenez soin de votre organisation, effectuer les tests autant que possibles, ne négligez rien, et vous pouvez me contacter pour des questions précises si besoin.

Ahmad VIADERE

L’article Les tests informatique en interne est apparu en premier sur SECWAN.

Cheminement pour choisir mon infrastructure informatique

VIADERE Ahmad — Tue, 01 Mar 2022 10:42:19 +0000

Cheminement pour choisir mon infrastructure informatique

Aujourd’hui, on aborde un sujet qui demande pas mal de réflexion.

Tout d’abord, rappelons rapidement ce que j’entends par infrastructure informatique. Celui-ci comprend le matériel, les logiciels et les composants réseaux, les systèmes d’exploitation et le stockage de données, utilisés pour fournir des services et des solutions informatiques.

En effet, que l’on démarre une activité, ou que l’on souhaite évoluer, on finit toujours par se poser cette question importante qui est » Vers quel type d’infrastructure je dois m’orienter, et comment ? «

Comme à mon habitude, j’écris cet article en m’inspirant des questions qui me sont posées. Effectivement, j’ai dû faire face à cette interrogation à de nombreuses reprises, et forcément cela demande une réponse adaptée au contexte !

Une simple question, mais qui demande une grande réflexion de la part de celui qui souhaite faire son choix !

Tout d’abord, il faut savoir clarifier son besoin. Je m’explique, on peut avoir besoin d’une infrastructure par exemple pour :

Un site web
Une messagerie (mail)
Du stockage
De la sauvegarde
Etc…

Ensuite assez rapidement, on va devoir faire face au choix du lieu des équipements nécessaires. Pour cela, en général, on a les possibilités ci-dessous :

Avoir une salle en interne
Louer un emplacement ou service chez un hébergeur
Faire de l’hybride, c’est-à-dire, une partie en interne, une autre chez un hébergeur

Pour répondre au point ci-dessus, il y a plusieurs choses qui vont grandement nous guider dans notre choix. Parmi ces choses, il y a l’aspect financier, car forcément, selon notre budget, il y a des cas qui seront possibles et d’autres pas vraiment, voire pas du tout.

Aussi, il y aura l’aspect humain, qui va s’en occuper ? Est-ce qu’on peut le faire nous-même, est-ce qu’on a une personne en interne qui est pleinement capable de s’en occuper, ou est-ce qu’il faut prendre un prestataire ?

Petite précision, quand je parle de s’en occuper, j’inclus la mise en place et aussi le maintien et la gestion au quotidien.

Dans cet article, je ne vais pas partir dans les détails, ni répondre concrètement aux questions, car l’idée est de rester assez général, afin que chacun s’y retrouve.

Cependant, je vais donner mon avis sur certains points, comme le choix d’avoir son infrastructure en interne ! Comme vous l’avez vu plus haut, j’ai écrit » Avoir une salle en interne « . Pourquoi je souhaite éclaircir ce point ? Tout simplement, car souvent, j’ai vu des clients, qui ont souhaité avoir les équipements en interne, mais ce n’était pas forcément dans un environnement idéal.

En fait, quand on envisage cette possibilité, il faut vraiment pouvoir dédié un endroit pour accueillir les équipements, avec les conditions de températures qui vont bien, et surtout à l’écart de la poussière. Ces conditions sont importantes, car cela va grandement jouer sur l’efficacité des équipements, et leur durée de vie !

De nos jours, on entend beaucoup parler du cloud, ce qui correspond aux deux autres possibilités, qui sont de louer un emplacement ou un service chez un hébergeur, et l’hybride. Souvent, des clients me disent, la phrase suivante » Je pense qu’on n’a pas le choix, il faut absolument partir sur du cloud, car tout le monde le fait aujourd’hui » ! Il y a une chose qu’on oublie, l’informatique demande de l’adaptation et réflexion selon un contexte.

Donc on ne peut pas vraiment se baser sur ce que tout le monde fait, pour mettre en place son projet et surtout répondre à nos besoins. Prenons des exemples simples, celui dont son besoin est un site e-commerce, le fait de louer un service chez un hébergeur tel que OVH, LWS, HOSTINGER, PLANETHOSTER, etc… est une idée plausible, et même recommandée, du fait du tarif et de la performance.
Car il pourra gérer plus facilement le nombre de personnes qui viendront se connecter, ainsi que la partie sécurité et tout ce qui faut pour qu’un site e-commerce fonctionne bien.

Bien entendu, l’hébergeur ne fait pas tout, il faudra mettre la main dans le cambouis pour la configuration, mais là, je parle surtout d’efficacité matérielle et de réponses face à une masse publique.

De l’autre côté, une société qui utilise un serveur pour une application métier, qui demande beaucoup de ressources, et dont l’application est très sollicitée, ça peut être très compliqué d’héberger ce serveur chez un hébergeur distant.
Car, certes, le coût peut être moindre de louer un serveur chez OVH, 1&1, LWS, AWS etc… Mais quel va être le temps de réponse ?

Sachant que c’est une application métier, fortement utilisé, si la société ne possède pas d’une connexion internet fortement efficace, alors là, ça devient une perte pour la société. Car forcément, le travail va prendre plus de temps, et les retards vont s’accumuler ! Est-ce qu’il va vraiment y gagner sur le plan financier ?
Sachant qu’il faudra aussi s’assurer d’un second lien internet efficace, au cas où le premier lien rencontrerait des soucis. Dans cette situation, potentiellement, il serait plus plausible d’avoir un serveur pour l’application métier en interne.

Maintenant, on arrive sur un sujet délicat, je cite » LA SECURITE « . Malheureusement, il est très souvent négligé, et pourtant, c’est une partie vraiment importante.

En effet, dans chaque projet, il faut prendre conscience que la sécurité doit faire partie du coeur du sujet ! Une infrastructure informatique avec l’aspect sécurité négligé, débute déjà avec un énorme handicap ! N’oublions pas que l’informatique évolue de jour en jour, donc les risques évoluent aussi de jour en jour, et des problèmes peuvent arriver bien plus vite que l’on pense.

On doit sincèrement prendre en considération la sécurité de l’infrastructure pour :

La partie physique
- ex: L’endroit qui va accueillir l’infrastructure, est-il sécurisé ? Les accès sont-ils sous contrôle ? etc…

La partie système
- ex : Le système est-il fiable ? Est-on en mesure de respecter les normes et bonnes pratiques ?

la partie applicative
- ex : Est on en mesure de respecter les normes et bonnes pratiques ? La sécurité du code est elle à jour ?

La partie humaine
- ex : Les personnes auront-elles la formation adéquate ? Les personnes sont-elles sensibilisées ?

Encore une fois, je précise, j’ai cité quelques exemples, mais il faudra adapter les questions à se poser, selon le contexte et projet.

Aussi, un autre sujet qui fâche, dont on surnomme aussi, » la douloureuse » ! Effectivement, on va parler de finance bien entendu. Souvent, celui-ci peut bloquer pas mal de choses, notamment fortement orienter nos décisions.

Qu’on soit claire, je n’ai pas les capacités de vous donner des conseils financiers, ce n’est pas mon job.
Cependant, je peux vous donner quelques conseils pratiques, concernant les impacts. Alors, de manière générale, je fais face à des clients, qui se disent » On va partir sur cette base pour le moment et on verra ensuite « .
Mais, de mon point de vue, ce n’est pas le mieux comme vision, car on se base sur le minimum voire strict minimum, et ensuite, on va réagir si besoin !
Les conséquences peuvent être énormes, car imaginons une société qui propose des services en ligne, il part sur une offre d’hébergement à bas coûts pour son site, puis au lancement de son service, très rapidement il fait face à une forte demande, mais son site n’est pas en capacité de répondre à la masse, et donc le site le met en » K.O technique » !

Conséquence, il ne peut plus répondre à la demande, les gens sont mécontents, et cerise sur le gâteau, son hébergeur lui indique que pour augmenter ses ressources serveurs, il faut migrer vers un autre serveur !
Problème… En plus du mécontentement des gens face au site qui crash, le gérant va devoir faire le nécessaire pour faire ou trouver quelqu’un pour gérer la migration rapidement et efficacement ! Je vous laisse imaginer la chose…

Certes, certains me diront, que je suis parti à l’extrême dans mon exemple, mais pourtant, j’ai eu ce genre de cas à plusieurs reprises, et mes weekends et nuits à bosser non-stop pour gérer la situation aussi sont dans un coin de ma tête.

Alors, cela ne veut pas dire non plus, qu’on doit absolument investir bien plus qu’il en faut, et encore moins exagérer dans l’estimation des ressources.
Car oui, on peut imaginer aussi le cas où cette forte demande est juste due à l’effet d’ouverture, de nouveautés, etc…
Et donc, par la suite, la masse diminue. Mais il faut avoir le juste-milieu, et même l’idéal pour moi, serait qu’il sera toujours mieux d’avoir un peu plus, que d’avoir un peu moins…

Ce pour quoi il est très important de consulter les personnes compétentes, pour estimer et préparer vos infrastructures, et bien entendu vous faire accompagner sur du long terme pour éviter le pire et toujours anticiper dans le bon sens de l’évolution.

Pour conclure, je dirais, faites les choses vraiment de manière posée, n’hésitez pas à vous faire accompagner pour ce genre de projet, ne vous laisser pas prendre au jeu d’y aller trop vite, car il faut absolument que ce soit en place !

Prenez le temps qu’il faut pour réfléchir à différents angles, prenez plusieurs avis si nécessaires, et ne négliger surtout pas le moindre aspect.

Ahmad VIADERE

L’article Cheminement pour choisir mon infrastructure informatique est apparu en premier sur SECWAN.

La supervision informatique alias monitoring

VIADERE Ahmad — Sun, 20 Feb 2022 12:53:36 +0000

Dans cet article, nous allons parler de l’importance de la supervision. Nous verrons différentes visions de celle-ci, son approche et son utilité.

Pour commencer, je vais essayer de résumer qu’est-ce que la supervision.
Pour faire simple, un système de supervision, permet de monitorer, surveiller les ressources et services d’un serveur par exemple, ou encore de surveiller un site web, afin de suivre ses performances, et de voir sa consommation.
Aussi, cela va nous servir pour être alerté, via différents seuils qu’on peut définir, des soucis sur un serveur, par exemple : une consommation anormale de la mémoire, du CPU, ou encore nous prévenir que l’espace disque, va bientôt atteindre sa capacité maximale.

Certes, c’est un bref résumé de la supervision, mais je pense que cela permet tout de même, de comprendre son utilité et d’avoir un avant-goût de son potentiel, car on peut faire réellement toute une panoplie de choses, les possibilités sont vastes.

Après cette introduction, je vais partir d’un constat personnel. Bien souvent, à travers mes missions, j’ai été surpris, de voir que la supervision ne soit pas présente dans une infrastructure.

Peut-être que mon étonnement peut sembler bizarre, ou n’est pas forcément compréhensible d’un premier abord, car ce n’est pas une obligation, mais pour ma part, c’est quand même se priver d’un outil très agréable et utile.

Je vais donc exposer mon raisonnement. A mon sens, il est nécessaire d’avoir une telle solution dans une infrastructure, car cela permet de rythmer les interventions et actions à mener. Pourquoi me diriez-vous ?
Tout simplement, je vais prendre l’exemple d’un administrateur système et réseau, qui arrive à son poste le matin, juste en regardant déjà le tableau de bord de la supervision, pendant qu’il prend son café, il peut facilement prendre des décisions sur des actions à mener dans la journée.
Et si nécessaire, modifier son planning de la journée, pour mener une action, afin d’éviter une intervention d’urgence. Car en voyant l’alerte que tel serveur, a atteint 90% de son espace disque, il va pouvoir anticiper, et donc ne pas attendre que le serveur soit complètement saturé pour intervenir.

On peut se l’avouer, qu’il est bien plus agréable de mener une action tranquillement en ayant du temps, que de le faire dans l’urgence…

Bien entendu, j’ai cité des choses simples plus haut, mais nous pouvons aller bien plus loin dans le monitoring, et même faire du sur-mesure pour qu’il soit vraiment adapté à nos besoins.

Encore un exemple, on peut créer un scénario dont l’action sera de vérifier qu’un site web répond avec la réponse attendue, et dans le cas échéant, soit il va déclencher une autre action de test, ou soit directement créer une alerte.

Pour aller encore plus loin, il faut savoir que la supervision n’est pas présente, juste pour alerter ou notifier. Il est aussi très utile dans le sens de l’anticipation, ainsi que dans le suivi de rapports de performance et de statistiques.

Bien souvent, j’ai eu écho de personnes qui disaient que la supervision ne les apporte rien, et qu’ils ne voient pas la différence.
En fait, on peut avoir ce ressenti quand la solution n’est pas utilisée dans son potentiel, mais aussi quand on ne le fait pas vivre ! Je m’explique, depuis le début, j’ai cité des exemples d’utilisation, ou encore, j’ai utilisé la formulation « les possibilités sont vastes ».
Pour arriver à cela, il faut pratiquer la supervision, faire vivre le projet, et surtout de lui donner un sens.

Comment faire ? On peut y arriver en ayant, une personne qui se concentre vraiment sur la mise en place de l’outil, les contrôles qui vont bien, et surtout travailler en équipe pour comprendre les différents besoins, afin de mettre en place les scénarios et métriques qui vont bien.
Car bien entendu, c’est aussi un travail d’équipe, il faut déterminer les besoins et les attentes. Mais il faudra aussi, faire évoluer cela, on ne le laisse pas de côté, il faudra l’utiliser au quotidien, générer des rapports, consulter les métriques, et par ce biais, on va améliorer notre stratégie de supervision, et donc on pourra pleinement en tirer profit !

Un système de supervision, bien configuré et qui est vivant, pourra grandement aider à améliorer les performances d’un serveur ou d’un service, et aussi de prolonger la durée de vie des équipements, car on intervient bien avant qu’ils n’atteignent leurs limites…

Très important, c’est aussi un excellent outil pour la sécurité, car on va être averti, quand un système réagit anormalement, et donc potentiellement être prévenu qu’une attaque est en cours !
Mais pour cela, il faudra notamment prendre ses précautions et ne pas situer le serveur de supervision au même endroit que les serveurs et services supervisés. On verra cela plus en détail dans des articles plus techniques et aussi dans les tutoriels qui seront bientôt disponibles.

Aussi, pour répondre à certaines craintes qu’on peut avoir sur le financement d’une telle solution, sachez que la supervision est proposée par différents éditeurs, dans une version communautaire qui est donc gratuite, et est capable de remplir amplement son rôle et ils sont très efficaces.

L’aspect coûts à avoir va peut-être concerner, le temps qu’on y consacre, et la personne qui s’en occupe.

Pour conclure, je n’ai pas été « technique » car l’idée de mes articles, c’est de faire en sorte de rendre accessible ce genre d’information au plus grand nombre de personnes.

Je finirais par dire, qu’il faut prendre conscience qu’on est entouré de différentes possibilités pour améliorer notre infrastructure et aussi de générer des rapports utiles qui sont des clés pour le maintien et l’évolution.

Ahmad VIADERE

L’article La supervision informatique alias monitoring est apparu en premier sur SECWAN.

La formation d’un Admin Sys/Résx et sécurité !

VIADERE Ahmad — Sat, 12 Feb 2022 09:59:46 +0000

La formation d'un Admin Sys/Résx et sécurité !

Oui, le titre peut mener à plusieurs réflexions.

Pour commencer, pourquoi j’ai choisi précisément ce titre ? Tout simplement, car c’est mon domaine et je préfère parler de ce que je connais et surtout des choses dont j’ai la possibilité d’apporter mon expérience.

Je voulais écrire sur un autre sujet qui était prévu dans ma « to do list », mais un événement ou plutôt un ensemble de choses m’ont conduit à écrire ce sujet plutôt qu’un autre !

Depuis peu, j’ai décidé de laisser encore plus parler mon côté challenger, et donc je me suis inscrit sur des sites proposant des services IT « fast food ».
J’ai nommé ceci fast food, car l’objectif de ces plateformes est de trouver des services IT ou autres à des tarifs très accessibles, ce qui permet à la toute petite structure ou même à un particulier, d’avoir accès à des prestations avec des professionnels aisément !

Pour ma part, je trouve cela assez challengeant, car je me retrouve face à des infrastructures complètement différentes bien souvent, non mises en place par des personnes du métier, et donc quand un problème se présente, il y a tout un labyrinthe à analyser pour comprendre le souci, de plus que bien souvent il n’y a même pas de logs …

Petite note, ce genre de plateforme fait débat, car certains disent qu’ils détruisent les sociétés IT, d’autres rapportent différentes choses aussi, et ceux qui en bénéficient sont très content !
Donc chacun y met son avis, personnellement, je n’ai pas d’avis tranché véritablement.

Après avoir fait cette « introduction », on en vient au sujet. Ce qui m’a inspiré l’article, ce sont quelques demandes de prestations que j’ai reçues ces derniers temps, sur une de ces plateformes.

Pour faire simple, j’ai eu plusieurs étudiants, qui me font la demande de prestation pour résoudre leurs devoirs, les TP, et même des examens ! Vous sentez peut-être la chose venir, ce qui me titille…

C’est une chose que j’ai un peu de mal avec, car l’objectif de faire une formation, de suivre des cours, et de préparer un diplôme, c’est normalement de comprendre et d’être capable de réaliser les différentes missions qui nous seront attribuées dans notre futur job !
Mais, si déjà à la base, on demande à d’autres de faire le job pour nous, de nous donner les réponses, eh bien ça risque d’être très problématique dans la future carrière.

En effet, le monde de la sécurité informatique ainsi que de l’administration système et réseau, requiert une capacité d’adaptation, de recherche constante d’évolution, et surtout d’avoir la capacité d’analyser une situation assez rapidement pour trouver et mettre en place des solutions.

J’ai résumé globalement ce qui est nécessaire, on est d’accord qu’il y a autre chose aussi. Mais déjà, juste ceux que j’ai cités, il me semble compliqué voire difficile d’en acquérir les capacités si on est dans la démarche de faire faire son job.

Précisions, je parle bien du fait de donner carrément le travail à réaliser à quelqu’un, sans chercher à comprendre ou de l’aide tout simplement.
Car c’est tout à fait normal de chercher des informations pour une tache sur le net ou autres, pour moi cela fait partie de la recherche d’informations, et même à mon avis, c’est très important pour se tenir à jour.

Maintenant, que j’ai expliqué ce qui a mon sens est problématique, je vous expose mon raisonnement : je pense, qu’à la base de la formation en elle-même il y a un souci !

On peut imaginer plusieurs hypothèses, soit les enseignants ou formateurs ne sont pas suffisamment clairs dans leur transmission de connaissance, un problème de pédagogie, soit le programme de formation n’est pas assez travaillé, ce qui mène à un souci dans les compétences à acquérir par les étudiants !
Donc ils sont face à des problèmes qui les mènent à chercher la facilité en faisant faire.

On peut encore y ajouter plein d’hypothèses, mais on n’aura pas forcément la réponse sans un important travail d’analyse du sujet. Je me permets tout de même, d’y mettre un avis que je constate.

Bien souvent, on est face à des « marchands de rêves » qui présente le métier comme un propulseur de richesse via le salaire, ou encore, c’est le job du moment, etc… Mais, dans tout ça, ils oublient de préciser que ce genre de métier demande quand même un minimum de passion et de sacrifice pour atteindre un résultat.

Ce qui provoque aussi, la situation actuelle, on a des gens qui foncent droit dans la formation en ayant le » IT Dream » en tête.

Cela nous conduit à avoir des personnes qui vont se retrouver à un poste, sans en avoir forcément les compétences, et qui ne sauront pas gérer les missions qui leur sont demandées. Bien entendu, mon but ici n’est pas d’incriminer la personne, mais plutôt le système qui l’a ramené ici, sans lui donner réellement les moyens nécessaires.

Pour la petite anecdote, plusieurs fois dans mes interventions, j’ai eu à faire face à des administrateurs réseaux ou même des responsables sécurités IT, qui ne savait pas prendre la main sur un firewall ou gérer des règles d’entrée/sortie.

Encore une fois, je précise, le sujet n’est pas de mettre un jugement sur la personne ! En fait, beaucoup de sociétés, engagent des jeunes diplômés pensant qu’ils sont 100 % au point et que ça va être l’homme de la situation.

Alors qu’en réalité, il est toujours dans son apprentissage, voire même, il commence seulement à comprendre la réalité du terrain ! Bien souvent, la personne pense aussi qu’il est 100 % prêts, car on lui a dit qu’il est prêt, qu’il sait faire, qu’il est au point !

On peut notamment ici soulever un souci dans le processus de recrutement, peut-être que les étapes ne sont pas forcément adaptées. Mais cela fera l’objet d’un autre article qui mérite plus d’analyse. Une fois que j’aurais recueilli plus d’informations je finaliserai l’article dédié à ce sujet.

Personnellement, je pense qu’il y a des incompréhensions des deux côtés. Je m’explique, d’une part on a la société qui pense qu’une personne sortant d’école ou de formation est pleinement capable de tenir l’infrastructure, et de gérer la situation en toute autonomie.
Ce qui peut être plausible dans le cas où c’est une personne qui possède un vécu dans le domaine, et qui a procédé à des études dans l’objectif d’obtenir un diplôme.

D’autre part, on a la personne qui s’apprête à avoir son premier job, qui a envie d’affronter le terrain et de relever des challenges!
Mais petit souci, sa formation s’est beaucoup portée sur de la théorie, et les exercices pratiques n’étaient pas suffisamment formateurs pour fair face au monde du travail, et surtout aux infrastructures qu’on voit réellement sur le terrain.

Donc forcément il va y avoir quelque chose qui coince.

Effectivement, bien souvent, on remarque que les exercices et étude de cas données aux étudiants, sont assez loin de la réalité, car c’est dans un cadre « quasi parfait » c’est à dire, que les mises en place sont réfléchis, étudié etc…

Alors que dans la réalité, malheureusement, souvent les infrastructures ont était mise en place par une personne qui s’y connaissait un peu, ou a suivi un tutoriel sur le web, et le projet n’a pas était plus suivi que ça !
Il y a des chances, qu’il va y avoir quelques perturbations dans l’infrastructure, car des étapes on était oublié, ou encore il y a des choses qui n’ont pas reçu toute l’attention que cela nécessité et autres.

S’il y a bien une chose qu’on doit retenir, c’est que ce domaine, s’apprend réellement dans la pratique, et demande beaucoup de passion, afin de se motiver pour apprendre naturellement, être curieux et avoir la soif de veille technologique.

Aussi, il faudra savoir faire la différence, entre une infrastructure qu’on fait pour soi, et une infrastructure qu’on fait pour de la production professionnelle. Ce n’est pas la même vision, il y a quelques points qui diffèrent.

Pour conclure, je dirais, qu’il y a un réel travail à faire concernant la formation des métiers menant à ce domaine, en abordant bien plus de pratique, et développant une pédagogie plus enrichissante, ainsi que de préparer l’entrée dans le monde du travail d’une façon différente.

À noter, je ne généralise pas, bien entendu il y a des formations et des écoles qui sont au top, et qui font le nécessaire pour former des personnes qui seront aptes à s’adapter aux différentes situations du métier. Malheureusement ils sont peu, il en faudrait bien plus

Ahmad VIADERE

L’article La formation d’un Admin Sys/Résx et sécurité ! est apparu en premier sur SECWAN.

Comment envisager la sécurisation du SI ?

VIADERE Ahmad — Tue, 08 Feb 2022 13:37:41 +0000

La cybersécurité est un concept que nous avons déjà exploré dans notre article précédent, accessible via ce lien : LA CYBERSECURITE ?

Maintenant que nous avons éclairci ce terme, nous pouvons approfondir certains sujets, tels que : » Comment sécuriser le Système d’Information (SI) ? »

Sécuriser le SI : Une priorité plus complexe qu'il n'y paraît

Avant de commencer, précisons que notre discussion ne sera pas centrée sur la finance (du moins, pas dans le sens où un consultant en finance l’aborderait). Nous allons plutôt examiner comment aborder la sécurisation du SI et quels éléments doivent être pris en compte. Ce domaine offre plusieurs solutions, il serait donc imprudent d’imposer une seule et unique façon de faire.

Au fil de mes échanges avec des dirigeants et des responsables, une phrase me revient sans cesse : » Nous voulons maximiser la sécurité pour faire face aux menaces actuelles, mais avec un coût très raisonnable (bas) ! » Cette demande met en lumière plusieurs problèmes.

Les pièges courants dans la sécurisation du SI

1. Manque d'anticipation et urgence

Il semble souvent qu’il n’y ait pas d’anticipation sur ce projet, ce qui conduit à agir dans l’urgence. De plus, l’approche visant à obtenir le maximum avec le minimum est généralement malavisée.

2. Compréhension insuffisante du projet

Il est possible que les demandeurs ne comprennent pas vraiment ce qui est nécessaire pour un tel projet. Cette lacune devient apparente lorsque l’entreprise subit une attaque en cours ou lorsque l’actualité est dominée par une flambée d’attaques.

3. Problèmes dans l'accueil et la conception du projet

En général, lorsque ce genre de demande survient, il y a tout à faire ou complètement à refaire. Soit le sujet n’a jamais été abordé, soit il a été traité superficiellement parce qu’il fallait faire un minimum.

Comment aborder efficacement la sécurisation du SI ?

La sécurité informatique n’est pas un sujet qui doit être discuté à la légère. Elle nécessite un effort d’équipe pour analyser, brainstormer, et construire les étapes pour sa réalisation.

1. Prévoir un budget adéquat

Le budget est souvent négligé. Certes, il n’est pas nécessaire d’y mettre des fortunes, mais il faudra quand même prévoir un investissement suffisant.

Cet investissement couvrira l’équipe interne ou les prestataires nécessaires pour mener à bien le projet et surtout pour le faire vivre.

2. Éviter les décisions hâtives

Il est important de comprendre que la sécurisation du SI n’est pas un projet à réaliser à la hâte. Les décisions prises dans l’urgence peuvent aboutir à des étapes négligées ou bâclées, ce qui risque de compromettre la sécurité de l’ensemble du système.

3. Assurer une gestion continue du projet

La gestion du projet doit être dynamique. Autrement dit, il ne suffit pas de s’occuper du projet sécurité durant une période limitée pour ensuite passer à autre chose.

L’évolution constante de l’informatique et la longueur d’avance des pirates nécessitent une actualisation continue de votre stratégie de sécurité.

Stratégies efficaces pour la sécurisation du SI

1. Équipe dédiée interne vs prestataires externes

Une question courante est de savoir s’il faut absolument une équipe dédiée en interne ou faire appel à des prestataires externes. Cela dépend du contexte et de la stratégie de votre entreprise. Cependant, une combinaison des deux peut s’avérer efficace.

En ayant des personnes en interne et un prestataire externe, vous bénéficiez d’une force supplémentaire, d’un regard extérieur pertinent, et de l’expérience supplémentaire et plus vaste que peut apporter un prestataire.

2. Tests réguliers

Il est impératif de prévoir des phases de tests régulières pour vérifier l’efficacité de la stratégie en place, identifier ses faiblesses, et réagir en conséquence.

Conclusion

La sécurisation du SI est un sujet vaste qui demande beaucoup de temps pour sa mise en place, son élaboration, et son suivi. Aucune étape n’est à négliger, et toutes les idées doivent être prises en compte.

Le sujet ne doit pas être pris à la légère. Dans les prochains articles, nous approfondirons certains points importants. Restez à l’écoute !

L’article Comment envisager la sécurisation du SI ? est apparu en premier sur SECWAN.

Comprendre la cybersécurité : Un Guide Essentiel

VIADERE Ahmad — Mon, 31 Jan 2022 22:59:29 +0000

La cybersécurité est un terme que nous avons tous déjà entendu, mais son sens reste flou pour beaucoup.

Cet article vise à démystifier la cybersécurité, en exposant ses diverses facettes et en soulignant son importance pour tous, quel que soit leur rôle ou leur taille dans le monde numérique.

Qu'est-ce que la cybersécurité ?

La cybersécurité englobe un large éventail de mesures, de processus et de technologies conçus pour protéger les systèmes informatiques contre les menaces. Ces menaces peuvent prendre diverses formes, allant de l’attaque de logiciels malveillants aux tentatives d’accès non autorisé.

L’importance de la cybersécurité ne peut être sous-estimée, car nous dépendons de plus en plus des systèmes numériques pour toutes sortes de tâches et d’interactions.

Nous sommes tous impliqués

Il est crucial de comprendre que la cybersécurité nous concerne tous. Que vous soyez un individu utilisant Internet pour des activités personnelles ou une entreprise gérant des données sensibles, vous avez un rôle à jouer dans la protection du paysage numérique.

La Cybersécurité : Un enjeu multifacettes

Pour mieux comprendre la cybersécurité, il est utile de la décomposer en ses diverses composantes :

Sécurité physique : Cela comprend la sécurité des bâtiments, des structures et des points d’entrée.
Sécurité virtuelle : Il n’est pas palpable, elle concerne les systèmes applicatifs et logiciels.
Le matériel : Cela comprend les serveurs, les routeurs et les équipements réseau.
L’humain : Cela implique les comportements, les mentalités et les raisonnements des personnes.
L’environnement : Il s’agit du contexte et de ce qui se passe autour.

Construire une stratégie de sécurité numérique efficace

Lorsqu’il s’agit de mettre en place une stratégie de cybersécurité, il est important de considérer tous ces éléments. Comme pour une recette, chaque ingrédient compte et doit être dosé correctement pour obtenir le résultat souhaité.

Une stratégie de cybersécurité efficace doit tenir compte de l’aspect physique, virtuel, du matériel, de l’humain et de l’environnement.

La perfection n'existe pas en matière de cybersécurité

Il est crucial de comprendre qu’aucun système de sécurité n’est infaillible. Les technologies évoluent constamment, tout comme les menaces potentielles.

Lorsque nous élaborons une stratégie de cybersécurité, l’objectif n’est pas de créer un système inviolable, mais plutôt de mettre en place des mesures qui retarderont autant que possible une éventuelle attaque, tout en restant conscients de l’évolution possible des menaces.

Conclusion

En somme, nous sommes tous concernés par la cybersécurité. C’est un domaine complexe qui nécessite une prise de conscience et une action collective pour garantir la sécurité de nos espaces numériques.

Ouverture à la discussion

La cybersécurité est un domaine en constante évolution qui nécessite une collaboration et un partage de connaissances pour continuer à progresser. Si vous avez des commentaires, des questions ou une vision différente, n’hésitez pas à partager vos idées.

Cet article n’a pas pour objectif de tout changer, mais plutôt d’ouvrir le dialogue et de favoriser l’échange d’idées.

N’oubliez pas, la cybersécurité est l’affaire de tous, et votre contribution est précieuse. Restez à l’écoute pour d’autres articles qui approfondiront davantage ces concepts.

L’article Comprendre la cybersécurité : Un Guide Essentiel est apparu en premier sur SECWAN.