EBIOS-RM, c’est quoi ?


EBIOS signifie Expression des Besoins et Identification des Objectifs de Sécurité.
Développée en 1995 par la DCSSI et maintenue par l’ANSSI, EBIOS est une méthode d’évaluation des risques informatiques. Cette méthode a connu diverses évolutions et versions. (1995, 2004, 2010)

EBIOS-RM, pour EBIOS Risk Manager, est l’évolution de la méthodologie dans sa version 2018. Les changements de cette mouture sont majeurs et l’ANSSI a ajouté les lettres RM pour marquer cette évolution.

Lire plus ...

EDITO du 15/03/2020 : De l’hygiène et de l’hygiène informatique !

En ce temps de crise exceptionnelle, les systèmes d’information vont être sollicités et les services supports mis à rude épreuve.

L’hygiène

Même si cela est du bon sens pour la grande majorité d’entre-vous, il me semble important de rappeler que vos outils numériques, notamment les parties au contact de vos mains, oreilles et bouche sont des vecteurs de propagation idéaux.
Un clavier avec ses interstices est particulièrement concerné.
D’ailleurs une étude de 2008 indiquait déjà qu’une lunette de toilette publique est, de manière générale, plus saine qu’un clavier de bureau…

Des groupes de travail se sont penchés sur ce sujet dans le monde hospitalier.
Voici la conclusion d’un guide de 2016 de la sf2h, qui m’a l’air plutôt sérieux:

Le clavier, la souris, les surfaces tactiles des ordinateurs sont des réservoirs microbiens. Certaines espèces peuvent y survivre plusieurs jours. Les mains des utilisateurs peuvent être contaminées à partir de ces réservoirs et la contamination croisée est possible. Certains matériaux ou des protections peuvent limiter la contamination des claviers ou faciliter le nettoyage et la désinfection. Il convient d’évoquer, avant l’achat, les besoins réels, les avantages et inconvénients de chaque solution.

sf2h : Limiter le risque infectieux associé aux claviers et ordinateurs en secteur de soins

Les recommandations pour les équipes supports (et les autres)

  • Se laver ou se désinfecter les mains après chaque intervention
  • Limiter les interventions directes aux urgences ne pouvant être résolues à distance
  • Désinfecter les équipements à l’aide de lingettes prévues à cet effet
  • Limiter pour vous et vos utilisateurs les périphériques communs (téléphones, ordinateurs …)
  • N’oubliez pas les périphériques collectifs (écrans ou boutons de photocopieurs, digicodes …)

Hygiène informatique

« Tu viens d’en parler de l’hygiène informatique! Tu débloques ou quoi ? »

Et non l’hygiène informatique n’est pas l’art de nettoyer son clavier d’ordinateur à grand coup de gel hydroalcoolique…

Parmi les mesures techniques que les entités publiques ou privées doivent prendre pour garantir la sécurité de leurs systèmes d’information, on qualifie les plus simples et élémentaires d’entre elles d’hygiène informatique, car elles sont la transposition dans le monde numérique de règles élémentaires de sécurité sanitaire.

ANSSI – lien

Pour la plupart des organisations, en temps normal, l’informatique sur laquelle repose le système d’information est critique et, la cybersécurité, un enjeu fort !
Je vous laisse imaginer les enjeux maintenant que la France/le Monde sont au ralenti, que le télétravail est de rigueur pour que les entreprises puissent subsister et que les effectifs techniques sont réduits à peau de chagrin…

Par ailleurs, le malheur des uns faisant le bonheur des autres, les groupes malveillants devraient voir cette situation comme une aubaine pour faire chanter et plier des entreprises et structures déjà affaiblies.

L’ANSSI, a mis à jour en 2017 son excellent guide d’hygiène informatique, reprenant en 42 mesures les points à mettre en oeuvre pour renforcer la sécurité de son SI.

Ceux qui peuvent/doivent rester à la maison, prenez le temps de lire! Ceux qui peuvent/doivent travailler, essayez de trouver le temps de le lire (et de l’appliquer).

Dans tous les cas, partagez en le contenu avec vos utilisateurs / décideurs !

Comme l’hygiène, pour limiter les risques, l’hygiène informatique est l’affaire de tous !

Sources et documentations

http://news.bbc.co.uk/2/hi/7377002.stm
https://sf2h.net/wp-content/uploads/2016/12/HY-XXIV-6-SF2H-Baron.pdf
https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

L’intérêt du fonctionnement par ticket pour un service informatique

Ticket

S’il est correctement utilisé, un système de ticket ne peut être que bénéfique pour un service informatique.

Ici, je vous fais un petit retour d’expérience sur ce que nous avons mis en place sur mon lieu de travail. Il ne faut pas prendre l’ensemble de l’article pour argent comptant et réadapter cette méthode de fonctionnement afin qu’elle colle à la philosophie de votre entreprise, votre service.

Lire plus ...