L’ANSSI réagit aux menaces de cyberattaques liées à la guerre en Ukraine

10 mars 2022

La guerre entre Ukraine et la Russie a réveillé tous les spectres de cyberattaques sur l’Europe et ses entreprises. La menace est prise très au sérieux par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui préconisent de mettre en place 5 mesures préventives prioritaires pour protéger les systèmes informatiques des PME et ETI.

Par Serge de Cluny

Ce n’est pas ce conflit à l’est de l’Europe qui a crée les risques de cybermalveillance et il faut comprendre que la lutte contre ce fleau s’inscrit dans une démarche de long terme. Cependant au vu de la situation, l’ANSSI conseille d’adopter à court terme 5 mesures visant à :
– renforcer l’authentification sur les systèmes d’information
– accroître la supervision de sécurité
– sauvegarder hors-ligne les données et les applications critiques
– établir une liste priorisée des services numériques critiques de l’entreprise
– s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque

1 – Sécuriser l’authentification des comptes

Cette mesure est urgente et indispensable, en particulier sur les comptes les plus sensibles, c’est à dire ceux avec lesquels les administrateurs accèdent à l’ensemble des ressources ainsi que les comptes utilisés dans les postes les plus sensibles de l’entreprise (organe de direction, cadres dirigeants…). Pour cela, Il faudra prioriser l’utilisation d’une authentification forte sur ces comptes à l’aide de deux facteurs d’authentification :
– Un mot de passe tracé de déverrouillage ou une signature
– Un support matériel tel qu’une carte à puce, un jeton USB ou carte magnétique ou au moins une demande de code sur un autre appareil (un code SMS, par exemple)

2 – Renforcer la supervision de sécurité

L’ANSSI conseille de mettre en oeuvre une supervision de sécurité journalière sur les points d’entrée dans les systèmes d’information (points d’entrée VPN, bureaux virtuels, contrôleurs de domaine…). Les services et collaborateurs en charge de cette surveillance doivent rester à l’affut de toute anomalie ou connexion anormale, même celles qui paraissent insignifiantes, ainsi que de toute alerte dans les consoles d’antivirus.

Pour les entreprises qui le peuvent, il est également souhaitable de déployer des outils de visibilité sur l’état de sécurité des systèmes d’information (Sysmon, EDR, XDR).

3 – Sauvegarder les données et applications sensibles hors-ligne

Toute les entreprises procèdent à des sauvegardes de données à une fréquence quasi quotidiennes. Pour plus de sécurité, l’ANSSI préconise de procéder à ces sauvegardes de façon déconnectée du système d’information, surtout pour les données essentielles et fondamentales à la continuité de l’activité. Ce process n’est pas compliqué puisqu’il suffit par exemple de sauvegarder sur des disques durs externes ou des bandes magnétiques.

Grâce à cette précaution, l’activité pourra continuer normalement en cas de cyberattaque. Bien sur, l’actualisation des sauvegardes doit être effectuée tres régulièrement afin qu’elle soit efficace en cas d’attaque.

4 – Bien identifier les services numériques sensibles de l’entreprise et les lister selon leur importance

Pour adopter une politique de cybersécurité cohérente, l’ANSSI précise que l’entreprise doit avoir une vision nette et claire de ses différents systèmes d’information avec leur niveau de criticité et de dangerosité.

Si ce n’était pas le cas, il sera nécessaire de procéder à l’inventaire de tous les systèmes, outils digitaux et applications, service par service, établissement par établissement. Le but de cet inventaire est d’abord d’avoir une meilleure vue d’ensemble de la structure digitale de l’entreprise mais aussi et surtout d’agir méthodiquement. Il faudra aussi identifier les dépendances vis-à-vis des prestataires afin de les solliciter efficacement en cas de problème, ce qui nous amene à la cinquième mesure.

5 – Définir un dispositif de gestion de crise

Préparer des points de contact en cas d’urgence, notamment pour les prestataires de services numériques et pouvoir disposer des numéros et codes à proximité (pour cela la bonne vieille version papier reste une solution simple et efficace).
L’idée est de mettre en place un protocole d’urgence permettant d’assurer la continuité de l’activité en cas de cyberattaque. Pour cela, n’hésitez pas à procéder régulièrement à des exercices de simulation selon votre exposabilité à ces menaces et définir ainsi un plan de réponse en réaction à une cyberattaque.

Enfin, le plan de reprise informatique n’est pas moins important et doit être concu par les équipes techniques pour pouvoir remettre en service les systèmes d’information impactés en cas de cyberattaque et restaurer ainsi les systèmes et données.

L’ANSSI met à la disposition des PME et ETI certaines recommandations
et propose également un Guide d’Hygène Informatique très complet pour vous accompagner dans la mise en place d’un système sécurisé efficace pour votre entreprise

International

PLUS D'ARTICLES

Recrutement

Base de données candidats : une mine d’or pour vos recrutements

À l’ère de l’expérience client et de l’IA, les entreprises ont besoin d’améliorer leur stratégie de communication auprès de leurs candidats. Et si tout commençait par une base de données candidats de qualité pour créer la différence avec vos concurrents ? Découvrez dans cet article les points essentiels à connaître sur ce précieux outil qui vous permettra de mettre en place une stratégie de recrutement efficace. Par Céline Cherqui – Fondatrice de OneWay

Une base de données candidats, c’est quoi exactement ?

Par définition, la base de données est un outil comportant un ensemble d’informations organisé de manière à être facilement accessible, géré et mis à jour. Cet outil est utilisé comme méthode de stockage, de gestion et de récupération des informations. Une base de données candidats rassemble donc toutes les informations recueillies lors des différents échanges effectués entre les candidats et l’entreprise.

Ok, mais pour quoi faire ?

L’objectif de la base de données candidats est de faciliter votre relation avec eux et de vous aider à adapter vos messages ou les opportunités de postes à leur proposer en fonction de leurs envies. L’idée est de retracer tous vos échanges pour être sûr qu’au moment où votre candidat sera prêt à vous rejoindre, vous pourrez lui offrir ce dont il a besoin. En effet, en sachant exactement ce que recherche vos candidats, vous serez en mesure de proposer le bon poste, au bon moment et à la bonne personne. Cet outil permet donc une personnalisation et bien évidemment une meilleure satisfaction candidat.

Quelles données sont à recueillir ?

La collecte de vos données doit être organisée et structurée pour une efficacité optimale. Les renseignements que vous allez recueillir doivent être uniquement ceux dont vous avez réellement besoin pour comprendre et connaitre vos candidats afin de bâtir votre stratégie de recrutement et de communication. Cela signifie que les informations demandées à vos candidats ne doivent avoir pour finalité que l’évaluation de ses savoir-faire et de ses savoir-être. Il est en revanche interdit de demander à un candidat des informations relevant de sa vie privée qui n’ont pas de lien direct et nécessaire avec l’évaluation de ses aptitudes professionnelles. Pour être exploitable, votre base de données doit être conforme à la législation. A défaut, elle sera inutilisable et donc dépourvue de toute valeur. Les informations ainsi recueillies et collectées dans votre base de données ne peuvent être consultées que par les personnes intervenant dans le processus de recrutement. Les piles de CV sur les bureaux, accessibles à tous, sont donc à proscrire. Offrir à vos candidats la maîtrise de leurs données personnelles constitue un gage de qualité et de confiance, notamment s’ils comprennent que vous respectez leurs choix, que vous comprenez leurs besoins et ne les sollicitez que lorsqu’ils le désirent.

Et les candidats dans tout ça, quels sont leurs droits ?

Lorsqu’un candidat est retenu et devient un collaborateur, ses données sont conservées le temps de sa présence dans l’entreprise. A son départ, certaines informations peuvent être conservées à titre d’archivage. Lorsqu’un candidat n’est pas retenu, le recruteur doit l’informer que son dossier sera conservé pendant 2 ans, sauf s’il en demande expressément la destruction. Si le candidat ne demande pas la destruction de son dossier, les données sont automatiquement détruites 2 ans après le dernier contact. Une conservation plus longue est possible, mais uniquement avec l’accord exprès du candidat. Bon à savoir : Tout candidat au recrutement peut, sur simple demande non motivée, accéder à ses données et être informé de la manière dont celles-ci sont traitées, au titre de son droit à l’information. Il bénéficie également :

d’un droit de rectification : il peut demander au recruteur de mettre à jour ses données,
d’un droit à l’oubli : il peut demander au recruteur de supprimer ses données,
et d’un droit à la limitation du traitement : il peut demander au recruteur de suspendre le traitement de ses données.

Vous l’aurez compris, une base de données bien construite est indispensable pour communiquer avec vos candidats, créer une relation de confiance et les accompagner vers un épanouissement professionnel. 📞 Si cet article vous a donné des idées pour construire ou optimiser votre base de données candidats mais que tout reste encore un peu flou, … Pas de panique, je vous accompagne pas à pas sur toutes les problématiques recrutement que vous pourrez rencontrer. Céline Cherqui – Directrice Recrutement – OneWay

FINANCE

La Rentrée Carmignac 2023 : Conférence digitale

La Rentrée Carmignac 2023 a eu lieu le jeudi 21 septembre et nous souhaitons vous partager la présentation de l’évènement, ainsi que les messages clés à retenir. Nous vous invitons également à visionner le replay de la conférence pour (re)découvrir nos vues macroéconomiques, nos stratégies d’investissement et nos convictions.

Bilan et stratégie

Maxime Carmignac, Directeur Général Carmignac UK
Kevin Thozet, Portfolio Advisor & Membre du Comité d’Investissement

Notre scénario macroéconomique

Raphael Gallardo, Chef Économiste
Frédéric Leroux, Responsable Équipe Cross Asset, Gérant

Notre stratégie d’investissement

Jacques Hirsch, Gérant
Guillaume Rigeade, Co-Responsable Équipe Obligataire, Gérant
David Older, Responsable Équipe Actions, Gérant

Table ronde « Investir au-delà du mur des inquiétudes »

Marie-Anne Allier, Gérante
Pierre Verlé, Responsable Équipe Crédit, co-Responsable Équipe Obligataire, Gérant
Mark Denham, Responsable Actions Européennes, Gérant

Échanges avec Édouard Carmignac

Édouard Carmignac, Président, CIO

Intervenant(s)

Communication publicitaire. Veuillez vous référer au KID/prospectus avant de prendre toute décision finale d’investissement. Ce document est destiné à des clients professionnels.

Le présent document ne peut être reproduit en tout ou partie, sans autorisation préalable de la Société de gestion. Il ne constitue ni une offre de souscription ni un conseil en investissement. Ce document n’est pas destiné à fournir, et ne devrait pas être utilisé pour des conseils comptables, juridiques ou fiscaux. Il vous est fourni uniquement à titre d’information et ne peut être utilisé par vous comme base pour évaluer les avantages d’un investissement dans des titres ou participations décrits dans ce document ni à aucune autre fin. Les informations contenues dans ce document peuvent être partielles et sont susceptibles d’être modifiées sans préavis. Elles se rapportent à la situation à la date de rédaction et proviennent de sources internes et externes considérées comme fiables par Carmignac, ne sont pas nécessairement exhaustives et ne sont pas garanties quant à leur exactitude. À ce titre, aucune garantie d’exactitude ou de fiabilité n’est donnée et aucune responsabilité découlant de quelque autre façon pour des erreurs et omissions (y compris la responsabilité envers toute personne pour cause de négligence) n’est acceptée par Carmignac, ses dirigeants, employés ou agents.

Les performances passées ne préjugent pas des performances futures. Elles sont nettes de frais (hors éventuels frais d’entrée appliqués par le distributeur).Le rendement peut évoluer à la hausse comme à la baisse en raison des fluctuations des devises, pour les actions qui ne sont pas couvertes contre le risque de change.

La référence à certaines valeurs ou instruments financiers est donnée à titre d’illustration pour mettre en avant certaines valeurs présentes ou qui ont été présentes dans les portefeuilles des Fonds de la gamme Carmignac. Elle n’a pas pour objectif de promouvoir l’investissement en direct dans ces instruments, et ne constitue pas un conseil en investissement. La Société de Gestion n’est pas soumise à l’interdiction d’effectuer des transactions sur ces instruments avant la diffusion de la communication. Les portefeuilles des Fonds Carmignac sont susceptibles de modification à tout moment.

La référence à un classement ou à un prix ne préjuge pas des classements ou des prix futurs de ces OPC ou de la société de gestion.La durée minimum de placement recommandée équivaut à une durée minimale et ne constitue pas une recommandation de vente à la fin de ladite période.

Morningstar Rating™ : © Morningstar, Inc. Tous droits réservés. Les informations du présent document : -appartiennent à Morningstar et / ou ses fournisseurs de contenu ; ne peuvent être reproduites ou diffusées ; ne sont assorties d’aucune garantie de fiabilité, d’exhaustivité ou de pertinence. Ni Morningstar ni ses fournisseurs de contenu ne sont responsables des préjudices ou des pertes découlant de l’utilisation desdites informations.

L’accès au Fonds peut faire l’objet de restriction à l’égard de certaines personnes ou de certains pays. Le présent document ne s’adresse pas aux personnes relevant d’une quelconque juridiction où (en raison de la nationalité ou du domicile de la personne ou pour toute autre raison) ce document ou sa mise à disposition est interdit(e). Les personnes auxquelles s’appliquent de telles restrictions ne doivent pas accéder à ce document. La fiscalité dépend de la situation de chaque personne. Les fonds ne sont pas enregistrés à des fins de distribution en Asie, au Japon, en Amérique du Nord et ne sont pas non plus enregistrés en Amérique du Sud. Les Fonds Carmignac sont immatriculés à Singapour sous la forme d’un fonds de placement de droit étranger réservé aux seuls clients professionnels. Les Fonds ne font l’objet d’aucune immatriculation en vertu du US Securities Act de 1933. Le fonds ne peut être proposé ou vendu, directement ou indirectement, au bénéfice ou pour le compte d’une « US person » au sens de la réglementation S américaine et du FATCA.

La décision d’investir dans le(s) fonds promu(s) devrait tenir compte de toutes ses caractéristiques et de tous ses objectifs, tels que décrits dans son prospectus. Les risques et frais relatifs aux Fonds sont décrits dans le KID (Document d’informations clés). Le KID doit être tenu à disposition du souscripteur préalablement à la souscription. Le souscripteur doit prendre connaissance du KID. Les investisseurs peuvent perdre tout ou partie de leur capital, attendu que les Fonds n’offrent pas de garantie de capital. Tout investissement dans les Fonds comporte un risque de perte de capital.

Carmignac Portfolio désigne les compartiments de la SICAV Carmignac Portfolio, société d’investissement de droit luxembourgeois conforme à la directive OPCVM. Les Fonds sont des fonds communs de placement de droit français conformes à la directive OPCVM ou AIFM. La société de gestion peut décider à tout moment de cesser la commercialisation dans votre pays.

En Suisse : Le prospectus, KID, et les rapports annuels des Fonds sont disponibles sur le site www.carmignac.ch et auprès de notre représentant en Suisse (Switzerland) S.A., Route de Signy 35, P.O. Box 2259, CH-1260 Nyon. Le Service de Paiement est CACEIS Bank, Montrouge, succursale de Nyon / Suisse Route de Signy 35, 1260 Nyon. Les investisseurs peuvent avoir accès à un résumé de leurs droits en français sur le lien suivant à la section 6 intitulée « Résumé des droits des investisseurs ».
En France : Le prospectus, les KID, la VL et les rapports annuels des Fonds sont disponibles sur www.carmignac.fr, ou sur demande auprès de la Société de gestion. Les investisseurs peuvent avoir accès à un résumé de leurs droits en français sur le lien suivant à la section 6 intitulée « Résumé des droits des investisseurs »
Au Luxembourg : Le prospectus, les KID, la VL et les rapports annuels des Fonds sont disponibles sur www.carmignac.lu, ou sur demande auprès de la Société de gestion. Les investisseurs peuvent avoir accès à un résumé de leurs droits en français sur le lien suivant à la section 6 intitulée « Résumé des droits des investisseurs »

SERVICES

Club4RSE propose le Label HOSMONY pour certifier l’engagement RSE

Aujourd’hui, de plus en plus d’entreprises décident de s’engager dans une démarche RSE et souhaitent se faire labelliser. Pour cela, il est primordial de bien choisir parmi les nombreux labels RSE qui ont vu le jour avec l’augmentation de la demande. Club4RSE est un think tank qui oeuvre pour sensibiliser à la démarche RSE et accompagner des porteurs de projets à fort impact sociétal. C’est précisément dans cette optique qu’il a co-construit avec les parties prenantes le Label HOSMONY (Hosmose avec la nature, Harmonie entre les hommes). Gills Robert, Président du Club4RSE et initiateur de cette belle dynamique, nous présente le label HOSMONY et partage avec nous sa vision très claire sur le modèle à adopter pour s’orienter vers une performance durable. Pascal Castanet, Président de l’ordre des experts-comptables d’Occitanie, nous explique pourquoi il a choisi HOSMONY pour se labelliser et comment les experts-comptables peuvent en faire profiter leurs clients.