La méthode QQOQCP

Introduction:

     Toute entreprise est confrontée à des problèmes aussi variés, Certains ont des solutions évidentes. D’autres sont plus complexes, et nécessitent une grande compréhension de la situation.
La méthode QQOQCP permet d'avoir sur toutes les dimensions du problème, des informations élémentaires suffisantes pour identifier ses aspects essentiels.
Elle adopte une démarche d'analyse critique constructive basée sur le questionnement systématique.

Synonymes :

QQOQCP : Quoi? Qui? Où? Quand? Comment? Pourquoi?

Principe :

Il s’agit de poser les questions de façon systématique afin de n’oublier aucune information connue :

Quoi? 

 Description de l’activité ou de la tâche ou du problème:

Questions :

De Quoi s'agit-il ?

Quel est l'état de la situation?

Quelles sont les caractéristiques?

Quelles sont les conséquences?

Quel est le risque ?

Cibles :

Actions, procédés, Objet, méthode, opération...

Qui? 

 description des exécutants, acteurs ou personnes concernées

Questions :

Qui est concerné ?

Qui a le problème?

Qui est intéressé par le résultat?

Qui est concerné par la mise en œuvre??

Cibles :

Responsable, victime, acteur......

Unités de production, services, clients, opérateurs, fournisseurs,

compétence, qualification …

Où? 

description des lieux

Questions :

Où cela se produit-il et s'applique-t-il ?

Où le problème apparaît-il?

Dans quel lieu?

Sur quelle machine?

Cibles :

Lieux, local, distance, service, atelier, poste, machine…

Quand?

  description des temps

Questions :

Depuis quand vous avez ce problème?
Quand cela apparaît-il ?
Quand le problème a-t-il découvert?
Quelle est sa fréquence? ?
Quand se produit le risque ?

Cibles :

Mois, jour, heure,
Moments, périodicité, fréquence, prévisibilité
Durée, planning... délais, ...

Comment? 

 description de la manière ou de la méthode

Questions :

Comment se produit le problème?
De quelle manière?
Dans quelles conditions ou circonstances?
Comment procède-t-on ?
Avec quelles méthodes, quels moyens, ... ?
Comment mettre en œuvre les moyennes nécessaires?
Avec quelles procédures?

Cibles :

méthode, modes opératoires, Organisation du travail,
procédures, règlements, consignes,
équipements, matière première

Pourquoi? 

Cette question peut se poser à la suite des autres questions mais il convient aussi de la poser pour toutes les questions Quoi ? Qui ? Ou ? Quand ? Comment ?
Pour mener une analyse critique, à chaque question se demander Pourquoi ? 

La Politique de sécurité

     I.        Introduction:

Un système informatique  désigne tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information.

De tels systèmes se prêtent à des menaces de types diverses, susceptibles de modifier ou de détruire l'information (on parle d’intégrité de l'information ), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »).

   II.        Politique de sécurité :

1.     Définition :

La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière de sécurité et les moyens mis en œuvre pour les assurer.

2.     Mise en place d'une politique de sécurité :

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle.

 la mise en œuvre se fait selon les quatre étapes suivantes :

Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ;

Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ;

Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ;

Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;

 III.        Gestion de risques :

La gestion des risques permet de répondre

 à 3 questions essentielles à la mise en place

D’une Politique de sécurité :

Comment résoudre les problèmes de sécurité

A quel endroit les résoudre

Quels types et niveaux de contrôles de sécurité appliquer

3.     Comparaison des approches de la gestion des risques:

a. Approche réactive:

Lorsqu'un problème de sécurité survient, la plupart des professionnels de l'informatique ne trouvent que le temps de contenir le problème, analyser l'événement et intervenir le plus rapidement possible sur les systèmes affectés.

b. Approche proactive:

Plutôt que d'attendre que les problèmes se présentent avant d'y répondre, le principe de cette approche est de minimiser la possibilité qu'ils se produisent dès le départ

4.     Approches du classement des risques:

a. Évaluation quantitative des risques:

L'objectif de cette approche est de calculer des valeurs numériques objectives pour tous les composants collectés lors de l'évaluation des risques et de l'analyse coût/bénéfices.

b. Valorisation des ressources:

Les directeurs d'entreprise se basent souvent sur la valeur d'une ressource pour déterminer le temps et l'argent qu'ils peuvent consacrer à sa protection.

Exemple:

Calculez par exemple l'impact d'une perturbation temporaire de l'activité d'un site Web de commerce électronique accessible 7 jours sur 7 et 24 heures sur 24, dont les commandes client génèrent des revenus moyens de 2 000 euros par heure. Si ce même site Web est inaccessible pendant 6 heures. la société estime devoir dépenser 10 000 euros à l'occasion d'une campagne de marketing visant à revaloriser une image de marque ternie par l’indisponibilité du site. Par ailleurs, elle s'attend également à une perte de 0,01 (1 %) des ventes annuelles, soit 17 520 euros

•  Valeur globale de la ressource pour l'entreprise =2000*24*365=17 520 000 euros
•   Impact financier immédiat de la perte de la ressource: pertes directement imputables à l'indisponibilité du site =6*2000=12000 euros
• Impact commercial indirect lié à la perte de la ressource: la perte indirecte totale=17 520 +10000=27520 euros
•  Détermination du PEU (Perte estimée unique)
•  Calcul de la PEA (Perte estimée annuelle).

Il s'agit du montant total de recettes perdues à la suite d'une occurrence unique du risque. Si une batterie de serveurs Web a une valeur de 150 000 euros et qu'un incendie provoque des dommages estimés à 25 % de sa valeur.

PEU= 150 000*0,25=37 500 euros

Détermination du TAO (Taux annuel d'occurrences)

 Ce taux correspond au nombre de fois qu'un risque peut raisonnablement se réaliser au cours d'une année.

Calcul de la PEA (Perte estimée annuelle).

Il s'agit de la somme totale que l'entreprise perdra en un an si rien n'est fait pour atténuer le risque.

PEA=TAO*PEU

La probabilité (ou taux annuel d'occurrence) d'un incendie est de 0,1 % (une fois en 10 ans):

PEA=37 500 euros × 0,1 = 3 750 euros

IV.        Évaluation des risques:

Un simple système d'évaluation avec les mentions élevé, Moyen ou faible peut représenter un point de départ pour évaluer les risques. Les données peuvent appartenir à diverses catégories:

•   Données administratives. La correspondance ou autres informations relatives aux biens de l'entreprise ainsi que les renseignements de personnel qui sont généralement consultables.
•  Données financières. Les informations sur les budgets et les dépenses relatives aux opérations de l'entreprise.
•   Données de clientèle. Les informations de nature personnelle relatives aux clients ou des renseignements issus de tests.
•  Données propriétaires/recherches...

Les informations qui ne peuvent pas être divulguées au public sans la permission du propriétaire

1.     Evaluation des Menaces et vulnérabilités:

Une menace peut être une personne, un objet ou un événement pouvant potentiellement provoquer des dommages au réseau ou à ses équipements.

Une vulnérabilité est une faiblesse sur un réseau qui peut être exploitée par une menace (ex password)

Par exemple. Un accès, non autorisé (la menace) au réseau peut être commis par un attaquant qui devine un mot de passe trop évident.

La vulnérabilité exploitée ici est un choix médiocre de mot de passe de la part d'un utilisateur.

Les menaces sont généralement classées de la façon suivante:

•   écoute clandestine ou vol d'informations:
•  blocage de l'accès aux ressources du réseau
•  Accès non autorisé

2.     Les Conséquences des Menaces:

•   Compromission de la sécurité des données (Vol d’information par un accès non autorisé à un système ou par écoute passive des échanges)
•   Perte d'intégrité des données
•   Indisponibilité des ressources

WinToFlash : Installer XP, Vista ou Seven depuis une clé USB

Aujourd’hui on va parler de WinToFlash, petit utilitaire gratuit permettant d’installer XP, Vista, Seven mais aussi Windows Server 2003 et Windows Server 2008.

Quel intérêt ? Nos petits netbooks n’ayant pas de lecteur CD ça peut donc être bien utile ! Dans un souci de sérieux avant de vous présenter le soft (mouai) j’ai tenté d’installer XP sur mon petit Netbook Samsung. J’ai du faire sauter une installe d’Ubuntu toute fraîche pour ça alors un peu de reconnaissance !

Pourquoi XP ? Parce que par le passé j’ai eu pas mal de soucis avec différents logiciels du genre pour l’installer, contrairement à Windows 7 pour lequel c’est d’une facilité déconcertante (pas besoin de logiciel, un petit bidouillage en ligne de commande suffit).

Bref avec ce soft on met pas les mains dans le cambouis, on réfléchit pas, on fait ce qu’il nous demande et tout roule.

Derrière il vous restera juste à configurer votre bios pour booter sur le port USB en first boot device.

Le logiciel est disponible ici.