Il est temps de vous doter d’un plan de continuité des activités

Si l’année 2020 a été éprouvante jusqu’à maintenant, elle nous a permis de mieux comprendre l’importance de la continuité des activités dans les entreprises. Au-delà de la crise sanitaire, la hausse fulgurante des attaques informatiques bouscule les entreprises et les oblige à s’adapter rapidement pour non seulement continuer à servir leur clientèle mais aussi protéger leurs employés et leurs actifs. C’est pourquoi il faut saisir l’opportunité de cette transformation du monde du travail pour élaborer, si ce n’est déjà fait, un plan de continuité des activités.

Le plan de continuité des activités (PCA) est le produit d’une démarche qui s’inscrit non seulement dans un contexte de cybersécurité, mais aussi dans le cadre de la transformation numérique des entreprises.

La cybersécurité repose sur trois piliers majeurs, soit la confidentialité, l’intégrité et la disponibilité. C’est sur ce dernier pilier qu’un plan de continuité des activités s’inscrit. La pandémie actuelle prendra fin un jour mais ce qui restera est un monde du travail profondément transformé de manière permanente. Si vous cherchiez une raison pour débuter une remise en question et une transformation numérique de votre organisation, le bouleversement de cette année est une raison livrée sur un plateau d’argent.

Concevoir un PCA est une démarche de longue durée qui fait appel à toutes les sphères de l’entreprise et à différentes expertises technologiques. C’est d’abord l’occasion de se questionner sur ce qui est essentiel et doit être protégé en priorité pour assurer la survie de l’entreprise. Ensuite, de revoir les processus existants pour les optimiser. Les technologies de l’information qui soutiennent les besoins d’affaire doivent être examinées, rehaussées et modernisées car elles sont les moyens techniques permettant la mise en œuvre d’un plan de relève, un composant essentiel du PCA. On le voit, l’élaboration d’un plan de continuité des activités mobilise des ressources d’entreprise considérables et  exige une vue d’ensemble de tous les services, de l’environnement technologique, des processus et des interdépendances afin d’assurer autant que possible la poursuite des activités en minimisant les interruptions et les contraintes pour les employés, les clients et les partenaires. C’est donc une démarche structurante. Enfin, un PCA doit aussi prendre en compte la question de la gouvernance qui sera au cœur de la mise en œuvre de ce plan en cas de crise.

Les entreprises qui s’engagent dans l’élaboration d’un PCA feront face à plusieurs défis. La maturité organisationnelle, la compétence des acteurs technologiques, la capacité de remettre en question les façons de faire, le soutien à la direction pour prioriser ce chantier, l’agilité des processus seront tous des facteurs qui influenceront la démarche et son succès.

Mais, malgré toute leur bonne volonté, même les entreprises les plus performantes auront besoin d’aide, à un moment ou à un autre.

ESI Technologies a accompagné au fil des 25 dernières années ses clients dans leurs initiatives de transformation numérique et ainsi acquis une grande expertise dans ce domaine et dans celui de l’élaboration des PCA. Nous serions heureux de vous entendre sur vos défis entourant la continuité de vos activités. Entrez en contact avec un de nos spécialistes pour en discuter et découvrir comment nous pouvons vous appuyer, vous conseiller et vous accompagner dans votre démarche.

Ce que la norme ISO 27001 peut faire pour votre entreprise

Lorsqu’il s’agit de disposer de preuves concrètes du sérieux d’une entreprise en matière de sécurité de l’information, les options sont rares. L’une de ces options est d’adopter la norme de sécurité ISO 27001.

L’ISO 27001 est la norme de sécurité de l’information à adopter, plus particulièrement en ce qui concerne les questions de conformité. La norme est composée de multiples clauses et de contrôles annexes qui vous guident à travers les meilleures pratiques en matière de sécurité de l’information. Certaines entreprises considèrent ces clauses comme de simples lignes directrices, mais d’autres vont un peu plus loin vers la certification.

Pourquoi votre entreprise voudrait-elle se faire certifier?

 

  • Pour accroître votre compétitivité dans un marché saturé : Plus que jamais, les données sont essentielles. Les clients veulent s’assurer que leurs fournisseurs protègent ces données. La norme ISO 27001 vous aide à montrer que votre entreprise prend la sécurité au sérieux.

 

  • Pour vous assurer de la conformité avec les normes de sécurité reconnues au niveau international : Comme expliqué précédemment, la norme ISO offre parmi les meilleures recommandations dans le secteur de la cybersécurité et le fait de s’y conformer vous garantit une base solide en matière de sécurité de l’information.

 

  • Pour veiller à ce que vos objectifs de sécurité soient respectés : Obtenir la certification ISO 27001 revient à documenter vos contrôles de sécurité et à atteindre vos objectifs. Le processus de certification est un excellent moyen pour l’équipe de direction de tenir les équipes opérationnelles responsables de la réalisation des objectifs susmentionnés.
Iso-27001

Le principe de base de la norme ISO 27001 est très simple : il s’agit de documenter vos politiques de sécurité et d’avoir les preuves que votre organisation respecte les conditions préalables de la norme.

Les avantages de l’approche ISO résident dans les multiples domaines qu’elle touche. L’évaluation de domaines tels que les relations avec les fournisseurs, la sécurité des ressources humaines et l’acquisition de systèmes sont des choses que l’on voit rarement avec d’autres cadres de référence. De plus, une entreprise mature aura déjà mis en place la plupart de ces domaines. La mise en œuvre de la norme ISO 27001 devient donc la prochaine étape logique.

 

Où commence votre parcours ISO 27001?

 

La démarche ISO commence au plus haut niveau de l’entreprise, c’est-à-dire à la haute direction. L’ensemble du processus exige de la rigueur et prend du temps. Il est donc nécessaire de s’assurer que chaque membre de l’entreprise bénéficie du soutien approprié de l’équipe de direction.

La première étape consiste à s’assurer que l’entreprise dispose de politiques et de lignes directrices de sécurité appropriées qui correspondent aux exigences de la norme ISO 27001. Bien entendu, toutes ces politiques doivent être mises en œuvre dans les opérations quotidiennes. L’alignement entre les politiques et les opérations sera l’objet de l’attention de l’auditeur lors de l’audit de certification.

Les services d’accompagnement d’un partenaire familier avec les exigences de la norme vous permettront de structurer votre approche avec un plan de mise en œuvre respectant vos délais afin d’atteindre votre objectif ultime, qui est d’améliorer votre cybersécurité et de pouvoir le démontrer à vos clients et partenaires.

 

Aziz Touré
Spécialiste en sécurité, ESI Technologies

Que signifie la continuité des activités pour votre entreprise?

Avec l’essor mondial de la transformation numérique, la technologie est aujourd’hui plus importante que jamais. Cette poussée technologique apporte de nombreux concepts nouveaux que nous ne saisissons pas entièrement. L’un d’entre eux est la continuité des activités.

Que signifie exactement cette notion et comment pouvez-vous tirer profit de son intégration dans votre entreprise?

La continuité des activités peut être définie comme la poursuite de vos activités principales en cas d’interruptions de service imprévues, qu’il s’agisse d’une panne de courant, d’une catastrophe naturelle ou même d’une défaillance d’un système critique.

Entamer les conversations sur la continuité des activités est assez simple mais exige de procéder méthodiquement pour ne rien laisser au hasard. De nombreux paramètres doivent être pris en compte :

  • Liste des actifs : Avez-vous une liste de vos actifs? Lesquels sont les plus critiques pour votre organisation?
  • Exigences de conformité : Devez-vous vous conformer à toute règlementation liée à votre secteur d’activité?
  • Exigences commerciales : Vos clients exigent-ils que vous vous conformiez à une norme pour pouvoir faire des affaires avec votre entreprise?
  • Principales parties prenantes : Qui doit être impliqué dans votre plan de continuité des activités?

À ces paramètres, il vous faut aussi ajouter le plus important de tous : votre pile technologique. La pile technologique s’inscrit dans le cadre de la reprise après sinistre, qui est un effort technique permettant à votre entreprise de poursuivre ses fonctions technologiques.

40 % à 70 % des entreprises risquent la faillite après une perte de données importante

3.7 milliards – valeur estimée du marché DRaaS  d’ici 2021

Voici maintenant quelques questions clés à inclure dans votre approche de la reprise après sinistre :

  • Quels sont les portails technologiques les plus importants pour votre entreprise?
  • Si un jour vous perdez l’alimentation électrique ou un serveur, pouvez-vous encore accéder à vos données?
  • Quelle est votre stratégie de sauvegarde? Au quotidien? Toutes les heures?
  • Combien de temps faut-il à votre équipe informatique pour restaurer vos copies de sauvegarde?
  • Combien de temps pouvez-vous vous permettre d’être en panne ou incapable d’accéder à vos données d’entreprise ?

Cette dernière question est vraiment la raison pour laquelle la continuité des activités est une question de haute direction. À ce stade, nous parlons de perte de revenus parce que l’entreprise est incapable de fournir un service aux clients, qu’ils soient internes ou externes. Lorsque les difficultés commencent à affecter les résultats, le conseil d’administration doit absolument s’impliquer.

La première étape pour adopter la continuité des activités est vraiment de commencer à poser les questions ci-dessus aux responsables des unités d’affaires. À partir de là, vous pouvez maintenant lancer cette démarche avec votre équipe informatique, l’équipe de direction de votre entreprise et, bien sûr, vos partenaires technologiques de confiance.

 

Aziz Touré
Spécialiste en sécurité ESI

ESI lance une toute nouvelle série de capsules d’apprentissage!

Préparez-vous !

 

Dans le cadre de ses prochains événements et activités, ESI est fière d’annoncer le lancement de sa propre série de capsules sur les TI en ligne ! À compter de la mi-septembre, nous vous inviterons à participer à nos capsules qui seront diffusées toutes les deux semaines.

Axées sur des conseils pratiques portant sur des sujets technologiques d’actualité, nos capsules sont conçues dans un format convivial avec une présentation de 30 minutes suivie d’une période de questions et réponses. Ces sessions seront présentées par notre propre équipe de professionnels. Nous profiterons également de la présence de certains des principaux partenaires d’ESI.

ESI_Learning_Capsules

Nous sommes très heureux de partager avec vous, à la mi-octobre, un sujet qui nous tient à cœur, à savoir la mise en œuvre du projet de loi 64. Son objectif est principalement de moderniser la Loi sur la protection des renseignements personnels du Québec. Il s’agit d’un sujet intéressant à discuter, car il touche tous les citoyens. Cette session sera animée par l’un de nos consultants les plus expérimentés en sécurité, Marco Estrela.

C’est l’occasion idéale pour vous d’élargir vos horizons et d’approfondir vos connaissances en TI. Comme on dit, il n’y a pas de meilleur moment que maintenant!

Participez à nos capsules sur les TI en vous inscrivant ici

Protection des renseignements personnels : la fin d’un certain laxisme?

Une nouvelle encourageante a été annoncée le 12 juin dernier (https://www.lapresse.ca/actualites/politique/2020-06-12/donnees-personnelles-des-amendes-pouvant-aller-jusqu-a-25-millions) lorsque la ministre responsable des Institutions démocratiques, de la Réforme électorale et de l’Accès à l’information Sonia LeBel a déposé le projet de loi 64 visant la modernisation de la Loi sur la protection des renseignements personnels. C’est un pas concret dans le domaine de la sécurité de l’Information qui, soyons francs, en avait grandement besoin. Ce sont notamment les sanctions aux contrevenants qui subissent les changements les plus marquants en devenant beaucoup plus mordantes. Des amendes, clairement modelées à celles imposées par le RGPD de l’Union européenne, pouvant aller de 15 000 à 25 millions de dollars (ou 4% du chiffre d’affaires) au pénal, feront réfléchir les gestionnaires TI tant au public qu’au privé désormais.

 

Nous aimons beaucoup les mesures d’amélioration aux droits des citoyens sur leurs informations personnelles. Nous pourrons tous exiger dorénavant la destruction ou l’anonymisation de nos données (avec un outil comme DataStealth par exemple) lorsque les fins pour lesquelles elles ont été collectées ont été atteintes.

 

Une autre nouveauté qui a retenu notre attention, est que les entreprises assujetties à la loi devront nommer un responsable de la protection des renseignements personnels. Parions que certains gestionnaires hésiteront avant d’accepter de porter ce fardeau sur leurs épaules. Après tout, qui veut être tenu responsable des échecs en matière de protection de l’information?

 

Marco Estrela
Conseiller en sécurité, ESI Technologies

La gestion des correctifs : un processus à ne pas négliger!

La gestion des correctifs joue un rôle essentiel dans la sécurité des systèmes informatiques. Généralement publiés par les éditeurs de logiciels pour corriger des vulnérabilités ou des failles de sécurité dans les systèmes d’exploitation, les correctifs font partie de leurs efforts internes pour résoudre les problèmes avec différentes versions de leurs logiciels. S’ils ne sont pas appliqués en temps opportun, les réseaux informatiques se mettent à risque et peuvent devenir gravement compromis.

Le processus de gestion des correctifs permet de les acquérir, tester et installer sur les applications existantes, afin que les systèmes restent à jour en matière de fonctionnalités ou de correction de failles liées à la sécurité. Un logiciel non corrigé peut faire d’un équipement réseau une cible vulnérable aux attaques informatiques ou aux virus logiciels.

%
des brèches de sécurité sont attribuables aux mises à jour manquantes selon le Ponemon Institute
Pourquoi est-ce important?

 

La gestion des correctifs est un processus nécessaire afin :

  • D’augmenter la sécurité de l’ensemble des équipements informatiques et de prévenir les brèches de sécurité.
  • Réduire les pannes et les bris logiciels.
  • Garder les systèmes à jour afin d’en assurer le bon fonctionnement.
  • Autoriser les appareils mobiles sur le réseau d’entreprise en ayant confiance qu’ils ne sont pas porteurs de logiciel malveillant.
  • Maintenir un état de conformité en tout temps des équipements et systèmes.
  • Avoir une visibilité et une perspective des forces et faiblesses du parc informatique.

Le problème le plus courant associé au processus de gestion des correctifs est l’introduction d’une défaillance qui n’était pas présente à l’origine. Ce problème peut apparaître immédiatement après la mise à jour ou parfois plus tard dans une application logicielle ayant une interdépendance avec un logiciel récemment corrigé. Étant donné que les correctifs peuvent parfois introduire des problèmes dans un système qui fonctionnait auparavant correctement, il est important que les administrateurs testent les correctifs avant de les déployer à l’échelle de l’organisation.

L’autre problème courant associé à la gestion des correctifs est que les systèmes déconnectés peuvent ne pas recevoir de correctifs rapidement. Si un utilisateur mobile ne se connecte que rarement au réseau de l’entreprise, alors l’appareil de cet utilisateur peut fonctionner pendant de longues périodes sans être mis à jour. Dans de tels cas, il peut être préférable de configurer l’appareil pour une gestion autonome des correctifs plutôt que de procéder par une gestion centralisée.

La gestion des correctifs est un des 10 principaux problèmes de sécurité à résoudre. Téléchargez notre livre électronique pour en savoir plus! 
Comment s’y prendre?

 

Mettre en œuvre une gestion des correctifs demande de respecter certaines étapes :

  • Documenter la politique de gestion des correctifs.
  • Obtenir une vision claire de l’état de la situation actuelle en effectuant une découverte des systèmes.
  • Catégoriser les systèmes en fonction de leurs niveaux de risque.
  • Confirmer les systèmes ayant besoin de mises à jour en standardisant et regroupant ceux-ci sous un même thème.
  • Déterminer les outils, pratiques et méthodes de mise à jour des systèmes : tests, configurations, déploiement, rapports d’état
  • Effectuer une surveillance des mises à jour manquantes ou de vulnérabilités sur le réseau.
  • Apprendre des expériences et modifier les politiques, procédures ou directives suite au premier bilan.

La gestion des correctifs logiciels est un processus répétitif qui peut s’avérer fastidieux, mais qui s’avère un outil de plus pour préserver la sécurité de vos actifs.

En l’absence de ressources internes disponibles pour prendre en charge cette gestion, faites appel à un partenaire de confiance, vous en tirerez de nombreux avantages et prolongerez la durée de vie de vos équipements!

 

Patrick Boucher
CISSP, CEH, CGEIT, CISA
Chef de la sécurité de l’information
ESI Technologies

Infonuagique : Sommes-nous en train de perdre une occasion?

Ces extraits de conversation vous semblent familiers? Si oui, ce n’est pas étonnant car on entend parler du « cloud » partout, tout le temps! On dirait qu’aucune entreprise n’y échappe. Comme nous l’avons publié dans un article précédent, il y a plusieurs façons d’aller dans le cloud. Et pourtant, on commence depuis quelque temps à entendre d’autres sons de cloche.

« L’infonuagique a gagné en popularité grâce à sa facilité de déploiement et à sa souplesse de consommation des ressources, et bien que cela fonctionne pour de nombreuses applications critiques, ce n’est pas la panacée pour toutes les applications prises en charge par une entreprise. C’est pourquoi, alors que l’adoption du cloud continue à augmenter, certaines compagnies choisissent de rapatrier les charges de travail sur site dans certains scénarios. »
NetworkWorld – 11 juin 2019

« Selon l’enquête menée auprès de 2 650 décideurs informatiques, 73% ont déclaré qu’ils déplacent certaines applications hors du cloud public pour les remettre sur site, et près d’un utilisateur sur cinq (22%) déplace cinq applications ou plus. »
ComputerWeekly – 15 novembre 2019

Selon Michael Dell, fondateur et PDG de Dell Technologies, les services définis par logiciel et l’industrialisation des TI constituent des offres très attrayantes certes, mais qui ne sont pas réservées qu’à l’infonuagique publique. La tendance de fond est à la virtualisation et à l’automatisation de tout et ce sur l’ensemble du spectre des TI, dans des environnements publics comme privés. (CRN – 13 août 2018).

Retour du balancier?

Que faut-il en penser? Est-ce le début d’un retour du balancier? Sommes-nous en train de manquer le bateau avec cette fixation sur le cloud? Méfiez-vous de ceux qui vous parlent d’infonuagique sans même vous demander en quoi consistent vos besoins d’affaires. En TI, on a souvent tendance à mettre la technologie au premier plan. Ce faisant, on commet une erreur stratégique importante. Pour les dirigeants d’entreprises ou d’organismes publics, c’est le besoin d’affaires ou la mission qui prime et qui devrait toujours être au cœur de nos préoccupations. En d’autres mots, une décision d’aller en infonuagique (ou non) doit reposer sur des bases solides.

Le point de départ : les besoins d’affaires

Les besoins d’affaires changent évidemment selon les entreprises, les contextes de règlementation, la compétition, etc. Par exemple : augmenter des parts de marché de 10% en ouvrant des bureaux en Europe d’ici 18 mois, obtenir une certification ISO 27001 d’ici la fin de l’année, déployer une solution de collaboration pour accélérer la mise en place de nouveaux services d’ici la fin du trimestre, etc.

Ces différents besoins ont en commun d’être quantifiables et vérifiables avec un échéancier.

Se concentrer sur la cible plutôt que sur les moyens

Connaître et comprendre les besoins d’affaires est essentiel à toute démarche de modernisation des services TI ou de transformation numérique.

Depuis plusieurs années, le succès d’entreprises numériques comme Uber ou Shopify, ont pour point commun de reposer sur l’infonuagique. Mais ce n’est qu’une partie de l’explication. L’infonuagique n’est venue qu’en appui à une mission qui avait des objectifs d’affaires clairs et concrets dès leurs débuts. Mais, pour beaucoup d’entreprises traditionnelles, augmenter la vélocité de livraison de nouveaux services client par exemple est peut-être tout ce qui compte. Dans certains cas, la réponse à cet objectif peut être l’infonuagique, mais pas nécessairement. Bref, il n’y a pas de bonnes ou de mauvaises réponses, tout dépend des besoins d’affaires qu’il faut mettre en contexte dans un plan d’accompagnement et d’évolution qui s’échelonnera sur quelques mois ou années selon les changements requis.

Ce plan inclura les éléments suivants :

  • Le résumé des besoins de l’entreprise selon son plan stratégique
  • L’ajustement ou la mise en place de nouveaux processus d’affaires
  • Le plan de gestion du changement
  • L’architecture des éléments technologiques nécessaires à la réalisation du projet
  • L’évaluation budgétaire de réalisation : éléments technologiques, efforts des équipes d’affaires et TI, efforts de firmes externes si nécessaire
  • L’échéancier provisoire
Cinq étapes pour réussir votre transformation numérique

Patrimoine d’applications

Il ne faut pas négliger les besoins des entreprises dites « traditionnelles ». En effet, ces dernières peuvent dépendre d’un patrimoine d’applications. Ces applications, construites et écrites à une autre époque, peuvent être un frein à l’adoption de l’infonuagique sur le plan tactique. Pour ces entreprises, la modernisation de leurs services TI passe peut-être par autre chose qu’une migration en infonuagique. Bref, il faut une vue d’ensemble de l’entreprise et ses besoins d’affaires.

Conseiller et accompagner une entreprise dans un cheminement de modernisation ou de transformation est un grand privilège. C’est l’occasion de passer en mode écoute et de confirmer, avec les dirigeants, leurs objectifs d’affaires et leur raison d’être.

Ce n’est qu’après que la discussion pourra prendre une tournure davantage axée sur la technologie, en collaboration avec toutes les parties prenantes de l’organisation. Plus on retarde les discussions techniques, plus la démarche sera optimale. Les discussions techniques nous font dévier trop rapidement des objectifs d’affaires et nous place prématurément en mode solution.

Le rôle des TI est de soutenir l’atteinte des objectifs d’affaires. Par exemple, pour l’entreprise désireuse de protéger sa réputation, des investissements en sécurité de l’information pourraient fournir une bonne partie des moyens technologiques pour atteindre cette cible.

Par où commencer alors?

Pour les experts d’ESI, les défis et les besoins d’affaires des clients sont la motivation principale des solutions proposées. Avec plus de 25 ans d’expérience en technologies de centres de données, ESI a l’expérience et l’expertise pour vous proposer les ingrédients technologiques requis pour vous aider dans vos démarches de modernisation de vos services TI.

Pour bien comprendre le contexte des entreprises canadiennes et leurs défis numériques, visionnez cette vidéo de 18 minutes (https://vimeo.com/382466224) et contactez-nous pour nous parler de vos défis et besoins!

 

Jean-François Martin
Conseiller principal, architecture et technologies

Conseils pour améliorer la vidéoconférence en télétravail

Le monde vit une crise sans précédent, mettant ainsi nos vies professionnelles comme personnelles en pause. Les entreprises doivent réagir. Le monde du travail doit s’adapter. Plus que jamais, les technologies viennent aider les entreprises à faire face à cette situation unique. Les services et les applications de collaboration gagnent en popularité. Les entreprises qui déploient et apprennent à utiliser ces services rapidement sont celles qui vont le mieux s’en tirer tout en minimisant l’impact sur leurs activités.

La culture du télétravail est une nouveauté pour plusieurs entreprises. De nouvelles habitudes de travail sont nécessaires, autant pour les employeurs qui doivent procurer à leurs équipes des outils de collaboration tels que Zoom, Skype, Microsoft Teams, que pour les employés qui doivent apprendre à bien utiliser. Voici quelques conseils basés sur une expérience pratique acquise dans les dernières semaines où le télétravail est devenu la norme.

Préparez-vous!

Avant de vous joindre à une rencontre virtuelle ou une conférence web, pensez à :

  • Bien saisir vos coordonnées (nom et prénom et pas seulement vos initiales) afin que les autres participants soient en mesure de vous identifier clairement.
  • Pensez à configurer votre avatar avec une photo plutôt que laisser l’application inscrire vos initiales. Il est toujours plus agréable de voir un visage!
  • Pour des réunions à plus de six participants, nommez un modérateur avant la rencontre. Ce dernier gardera un oeil ouvert sur ceux qui lèvent la main pour poser des questions afin d’éviter la cacophonie.
  • Le modérateur pourra enregistrer la rencontre pour ceux qui ne peuvent être présents. Annoncez dès le début de la rencontre que cette dernière sera enregistrée, par égard pour vos participants. Pour certains, se savoir enregistré change leur comportement pour le mieux.
  • Si vous êtes plusieurs à partager la même session, indiquez-le aux autres. Cela évite une attente inutile des autres participants.
  • Si vous utilisez une caméra, sachez que ceci consomme davantage de bande passante sur votre lien Internet à la maison. Pensez-y avant de joindre la rencontre car certains participants aux moyens technologiques moindres pourraient en souffrir avec des images et du son saccadé.
%
des télétravailleurs veulent continuer à travailler à distance
%
de diminution du taux de roulement pour les entreprises qui offrent le télétravail
Protégez la confidentialité

La confidentialité des informations est primordiale, en tout temps. Voici quelques conseils et rappels pour éviter que des yeux trop curieux voient des choses qu’ils ne devraient pas voir.

  • Avant d’entrer dans une conférence web, surtout si vous avez l’intention de partager votre écran, assurez-vous qu’aucun document confidentiel n’est ouvert sur votre poste (photos, diagrammes, documents internes, courriels, etc.) Si vous négligez de le faire, non seulement vous vous exposez à des situations délicates, mais en plus vous ferez perdre du temps aux autres pendant que vous corrigez la situation sous les regards indiscrets.
  • N’oubliez-pas de mettre sous silence vos notifications de courriels et de messagerie sur votre poste de travail. Vous ne savez jamais qui va se pointer au beau milieu de votre rencontre virtuelle!
  • Si d’autres personnes partagent la pièce avec vous, mettez votre casque d’écoute pour éviter qu’ils entendent vos échanges durant la rencontre.
  • Utilisez un fond d’écran virtuel flou, si l’application le permet, pour cacher l’arrière scène. Microsoft Teams offre cette fonctionnalité.
Ayez de bonnes manières

Les bonnes manières sont toujours d’actualité. Elles sont au centre d’une expérience de collaboration agréable pour tous!

  • Demandez aux autres s’ils vous entendent bien au début de la rencontre. Ensuite, désactivez votre microphone si vous ne prenez pas la parole tout de suite.
  • Quand vous intervenez dans la rencontre, comme personne ne vous voit, sauf si vous utilisez votre caméra, nommez-vous avant de prendre la parole.
  • Plus que jamais, le respect du droit de parole s’impose. Ralentissez votre débit quand vous parlez. Prenez des pauses fréquemment. Pourquoi est-ce si important? Il y a un délai de transmission entre les participants. Ce délai est causé par le temps de traitement de la voix et de la vidéo, la vitesse de votre lien internet, le niveau de congestion, etc. C’est ainsi que l’on minimise la cacophonie quand tout le monde parle en même temps à cause de ces délais.
  • Le non-verbal n’est pas accessible à tous car très peu de gens activent leur caméra durant les rencontres virtuelles (pour toutes sortes de raisons comme la peur d’être enregistré à leur insu, par insécurité, etc.) Pensez à demander aux gens d’activer leur caméra si vous croyez être dans une rencontre où la lecture du non verbal pourrait faire une différence dans l’issue de la rencontre.
Assurez-vous d’une bonne qualité sonore et visuelle

« Quoi, qu’est-ce que tu viens de dire? Pas certain d’avoir compris, le son a coupé! » Vous avez déjà vécu cette situation?

  • Si vous n’avez pas à parler, désactivez votre micro, afin d’éviter les bruits d’arrière-plan qui dérangent les autres.
  • Si vous assistez à une conférence alors que vous êtes en déplacement, si vous marchez, arrêtez-vous avant de parler, c’est plus facile pour vous et c’est mieux pour les autres qui vous écoutent. Vous aurez l’air moins essoufflé.
  • Vous placez votre téléphone en mode vibration avant la rencontre, c’est bien, mais attention de ne pas le laisser sur la table! Quand il va vibrer lors d’un appel entrant et si votre micro est ouvert, tout le monde va entendre votre appel entrant.
  • Si vous êtes plusieurs dans une même pièce à assister à la même rencontre mais chacun sur sa propre session, sachez qu’un effet d’écho sera entendu par tous et que c’est vraiment désagréable à entendre. Un micro à la fois règle le problème. Pensez à mettre votre micro en mode muet si vous ne parlez pas.
  • Portez attention à votre apparence. Dirigez la caméra en votre direction pour éviter de ne voir que la moitié de votre visage.
  • Si votre vidéo est trop saccadée, réduisez la résolution de votre caméra si votre logiciel le permet. Ainsi, vous consommerez moins de bande passante et la vidéo sera plus fluide pour tous. Le 1080p n’est pas vraiment requis, sauf si vous utilisez un tableau blanc pour présenter.
  • Quand votre caméra est activée, évitez de vous déplacer inutilement ou de bouger trop rapidement, surtout si vous utilisez votre téléphone intelligent. L’instabilité des images est désagréable pour les autres et peut même donner la nausée. Déposez votre téléphone sur une surface stable au besoin pour la durée de votre rencontre.
  • Les caméras intégrées dans les portables ne sont pas toujours de très bonne qualité. Pensez à vous munir d’une caméra USB externe si vous utilisez souvent la vidéo dans vos conférences web. De plus, ces caméras viennent souvent avec un micro de meilleure qualité.
  • Si vous utilisez votre clavier pour prendre des notes durant la rencontre, désactivez votre micro car on entendra les touches de votre clavier, ce qui est agaçant.
  • Enfin, en cette période de crise où les jeunes enfants sont partout dans la maison, rappelez-leur que vous travaillez et que vous avez besoin de silence, surtout pendant une réunion virtuelle! Rappelez-vous que si vos enfants jouent à un jeu ou écoutent un film en ligne, ceci pourrait diminuer la qualité de votre présence en ligne à moins que ayez un lien Internet très performant.
Des outils en évolution rapide

Il est clair que plusieurs de ces conseils découlent d’outils qui ne sont pas encore tout à fait au point. Ces derniers vont gagner en maturité, surtout en cette période de crise. Les fonctions ne sont pas toutes les mêmes d’une application à l’autre. Par exemple, Microsoft Teams permet d’avoir un arrière-plan flou pour cacher ce qui se trouve derrière vous mais Cisco Webex ne le permet pas encore. Soyez patient, les outils vont tous converger vers un ensemble de fonctions qui vont se ressembler. D’ici là, bonnes rencontres virtuelles!

 

Jean-François Martin
Conseiller senior, architecture et technologies

COVID-19… Les solutions pour faciliter le travail à distance

Le coronavirus a des répercussions dans toutes les sphères d’activité à l’échelle internationale. L’une des plus inattendues a été la suspension de tous les événements sportifs, culturels et d’affaires partout dans le monde et au chapitre de la productivité des entreprises, la nécessité d’encourager le travail à domicile.  Pour ceux d’entre vous qui ont des espaces de travail numériques déjà bien implantés, votre proactivité vous sert bien… pour les autres, vous devez prendre action et surtout ne pas implanter des solutions en urgence au détriment des principes de base en cybersécurité.

 ESI Technologies vous propose deux approches :

La rapide et la moins coûteuse :  

La mise en place d’une solution VPN de bonne capacité et bien encadrée selon les politiques de sécurité de votre organisation tout en ayant en tête que les cybercriminels sont toujours actifs dans un monde en changement. Certaines solutions peuvent être mise en place en moins de 48 heures.

La durable qui exige de prendre des actions à moyen et long terme :

La virtualisation des postes de travail et des applications ainsi que la mise en place d’outils de collaboration de grande valeur pour vos collaborateurs internes et externes.

ESI Technologies a mis en place des politiques et des mesures internes afin de répondre aux recommandations de nos gouvernements en termes de gestion des risques de propagation du COVID-19 pour ses employés, clients et partenaires d’affaires. Au niveau technologique, nous voulons contribuer aux efforts de notre communauté… Nous sommes prêts à vous aider!

141 Prédictions en cybersécurité : un aperçu

Tout juste avant les fêtes, le site Web Forbes.com a publié une compilation de 141 prédictions en cybersécurité fort intéressantes. Si cet article vous a échappé, voici un aperçu des réponses d’environ 70 professionnels du domaine, notamment sur deux questions :

  • Quel rôle les technologies émergentes (IA, apprentissage machine, 5G, informatique quantique) et les technologies en évolution (IoT, mobile – y compris les véhicules autonomes, cloud) joueront-elles pour améliorer l’efficacité, l’ampleur et la profondeur des cyberattaques en 2020?
  • Dans un paysage technique où les cybermenaces sont toujours en constante évolution, d’où proviendront les attaques? Quels seront les nouveaux objectifs et types d’attaques?

Qui sont les gens qui ont répondu? Les 68 personnes sondées (dont seulement 3 femmes, un maigre 4% des répondants) occupent des postes variés en sécurité de l’information, la majorité représentant la haute direction de leurs organisations.

Bien sûr, le plus intéressant ce sont les prédictions faites par ces professionnels. Afin de compiler les réponses, nous avons créé des catégories de prédiction classées selon les commentaires reçus par les répondants. Une douzaine de sujets se sont démarqués et parmi ceux-ci, deux en particulier étaient mentionnés de manière plus notable : l’intelligence artificielle/l’apprentissage machine et les rançongiciels, qui a eux seuls, comptent pour plus de 35% des prédictions! Voici les résultats de notre compilation :

Predictions 2020

Certaines personnes interviewées n’ont clairement pas hésité à partager ce qu’elles ont vu dans leurs boules de cristal. Voici quelques-unes des prédictions les plus intéressantes :

« Les attaques envers les courriels d’affaires (BEC) seront un thème majeur en 2020. Les aspects d’ingénierie sociale de ces attaques sont de plus en plus sophistiqués et difficiles à détecter, et peuvent être facilement exploités […]. Plus important encore, ils ne peuvent pas être bloqués par la sécurité des terminaux (endpoint detection) – seules les solutions de sécurité de messagerie combinées à la formation des utilisateurs pourront lutter avec succès contre ces attaques. »
Yoram Salinger, CEO, Perception Point

« 2019 a été une grande année pour les cybercriminels qui ont réussi à cibler les municipalités, les écoles et les universités du monde entier avec des attaques de rançongiciels et de harponnage. Comme ces organisations se sont avérées des cibles faciles, une augmentation des campagnes est attendue en 2020. La santé sera également un secteur attractif pour les pirates en raison de ses gains potentiels élevés. »
Eyal Aharoni, vice-président succès client, Cymulate

« En 2020 et au-delà, nous prévoyons qu’un nombre accru de violations de données résultera du fait que les entreprises supposent à tort que les fournisseurs de services cloud offrent une protection complète, ce qui n’est tout simplement pas vrai dans le modèle de responsabilité partagée. »
Balaji Parimi, CEO, CloudKnox

« En 2020, nous verrons la première banque capituler face à un rançongiciel. »
Yaniv Valik, vice-président produit, Continuity Software

« Avec l’évolution des cybermenaces, nous serons contraints de combattre l’intelligence artificielle avec l’intelligence artificielle »
Brian Foster, SVP, MobileIron

Souvenons-nous qu’aucune de ces prédictions n’est une certitude, mais que tout est possible ou du moins, plausible. Il est donc de notre devoir de continuer à mettre en lumière ces possibilités afin que les entreprises canadiennes puissent d’ores et déjà se préparer à toute éventualité. En attendant, si vous faites partie du groupe de gestionnaires prévoyant les risques qui planeront sur votre entreprise et que cet article vous met quelque peu sur les dents, sachez qu’il est toujours temps de mettre en œuvre des actions simples et concrètes. Pourquoi ne pas prévoir un audit de sécurité ce printemps par exemple? Si vous souhaitez quelque chose de plus robuste, peut-être que les bonnes pratiques ISO 27001 vous intéresseront. Peu importe votre choix, l’important c’est de poser le geste. Après tout, particulièrement lorsqu’il s’agit de cybersécurité, mieux vaut prévenir que guérir.

 

Marco Estrela

Conseiller en sécurité, ESI Technologies

Sécurisez vos données