1 synthèse générale des cours janvier 2007. 2 les risques et les enjeux dans lentreprise les...
TRANSCRIPT
1
Synthèse générale des cours
Janvier 2007
2
Les risques et les enjeux dans l’entreprise
Les risques et les enjeux dans l’entreprise
1
3
L’exposition aux risques majeurs augmente
Inondation Incendie
Tremblement de terre AttentatChute d’avion
Explosion industriel
Gard (FR) Somme (FR)Asie
IranAlgérieJapon
Toulouse (FR)Ath (BE)
Crédit Lyonnais (FR)Bibliothèque nationale (FR)Franière industrie (BE)
New YorkMadridConcorde
New YorkMadridLondresIrlande
Tempête / Ouragan …….
Le contexte général : un environnement risqué1
4
Les servitudes sont de plus en plus défaillantes
Rupture d’alimentation électrique
Rupture de télécommunications
Rupture de climatisation
SuisseEtat-UnisAngleterreFrance
France TélécomBouygues
1Le contexte général : un environnement risqué
5
Les risques humains sont très importants
Conflit social interne
Conflit social externe
Erreur humaine
Malveillance
Grèves dans les transports (SNCF, RATP)Grèves 1995Grèves des routiers
Pirate informatiqueEspionnageVol - Sabotage
Erreur utilisateurErreur de programmation
1Le contexte général : un environnement risqué
6
Les systèmes d’information sont vulnérables
Panne matériel
Vulnérabilités technologiques
Les informations sont mal protégées
Les utilisateurs ne sont pas suffisamment formés
1Le contexte général : un environnement risqué
7
Les procédures internes ne sont pas toujours adaptées
Pas de procédures formalisées
Les rôles et les responsabilités ne sont pas définies
La gestion de crise est souvent négligée
1Le contexte général : un environnement risqué
8
La cyber-criminalité s’organise
Phase 1 :
Le temps
des challenges
Phase 2 :
Le temps
des gains économiques&
de l’escroquerie
Avant 2004
Depuis 2004
Modification de site WEBIntrusion dans les entreprises par jeux / challengesPublication sur internet des exploitsDiffusion sur internet des failles des systèmesPropagation de virus
Vol et usurpation d’identitéVol d’identité bancaireVente sur internet de code d’accès au SI des entreprisesVente sur internet des codes CBFraude financièreEspionnage industriel / Vol de données confidentiellesChantageSabotage de ressources informatiques
1Le contexte général : un environnement risqué
9
1Les familles de cyber-risques
Le défacement de site Web
Le vol d’informations / atteinte à la vie privée
Les virus informatiques
La fraude économique / détournement d’argent
L’intrusion logique dans les réseaux1
La diffusion de contenu illégaux
Le piratage de logiciels / Vol de matériels
2
3
4
5
6
7
10
1Les familles de cyber-risques
L’intrusion dans les réseaux d’entreprise1
Des challenges sont lancés sur internet
Des outils sont disponibles gratuitement
High
Low
1980 1985 1990 1995 2000
password guessing
self-replicating code
password cracking
exploiting known vulnerabilities
disabling audits
back doors
hijacking sessions
GUIautomated probes/scans
Denial of Service
www attacks
Tools
Attackers
IntruderIntruderKnowledgeKnowledge
AttackAttackSophisticationSophistication
“stealth” / advanced scanning techniques
burglaries
Distributed Attack Tools
Source: JuliaH. Allen, CERT GuidetoSystemand NetworkSecurityPractices, Addison-Wesley, 2001
sniffers
packet spoofing
network mgmt. diagnostics
sweepers
Staged Attack
Cross-Site Scripting
Via InternetVia réseau WIFIVia connection téléphonique
11
1Les familles de cyber-risques
Le défacement de site Web2
Chaque jour 2.500 serveurs Web sont piratés
12
1Les familles de cyber-risques
Le vol d’informations / atteinte à la vie privée3
Etape 1 : installation d’un programme malveillant
Etape 2 : Vol de données sensibles
Vol de documents internes confidentielsVol de fichiers clientsVol de données privées
Cheval de troie ou Spyware
• Les internautes français ont subi leur première attaque massive par phishing. Le 27 mai 2005, des milliers de détenteurs d'une adresse e-mail en .fr ont reçu un message maladroitement rédigé en anglais, prétendument envoyé par leur banque.
• Le mail en question est censé concerner les clients de quatre instituts bancaires, Société générale, CCF, BNP Paribas et CIC, et les invite à rejoindre le site de leur agence en cliquant sur un des liens proposés.
Le coût des attaques informatique aux États-Unis de 2003 à 2004 (en millions de dollars)
13
1Les familles de cyber-risques
Les virus informatiques4
Evaluation de la sinistralité (CLUSIF):
14
1Les familles de cyber-risques
Création de fausse carte : vente sur internet
Entreprise Particulier
Fraude financière / détournement d’argent
Personnel InterneVol de mot de passe de collèguesUtilisation abusive des applications
Personne externeIntrusion dans des applicationsIntrusion dans un site de commerce électonique
Utilisation abusive n° Carte Bancaire
Suite à achat sur internet (sur site non sûr)
Vol de n° carte sur équipement de paiement
25 / 02 / 2006 : Ils clonent des cartes bancaires pour vider des comptes en banque
Deux-cents plaintes ont été déposées auprès de la police à la suite d'une escroquerie à la carte bancaire commise à l'aide d'un système sophistiqué qui clonait les cartes insérées dans le terminal d'une station service près de Metz.
C'est un système ultra-perfectionné. Pour réussir leur coup, les escrocs avaient discrètement introduit dans le terminal informatique de la pompe d'un supermarché ATAC
un dispositif permettant de récupérer les données de la piste magnétique de la carte bancaire ainsi que son code confidentiel.
Des cartes clonéesCes données étaient alors transférées sur des cartes clonées qui servaient à effectuer des retraits d'argent de plusieurs centaines d'euros, notamment aux Pays-Bas et en Espagne,
allant parfois jusqu'à 1.500 euros au maximum du montant hebdomadaire autorisé. 1.200 clients auraient été piégés depuis le début de l'année pour un butin qui se monte pour
l'instant à plusieurs dizaines de milliers d'euros. Ce type de procédé a déjà été décelé en France, mais son apparition est relativement
récente. Station service d'Atac. Image LCI.
Personne externeVol de documents sensibles
Chantage
La fraude économique / détournement d’argent5
15
1Les familles de cyber-risques
Diffusion de contenu illégaux6
Entreprise Particulier
Utilisation des ordinateurs de l’entreprise pour la diffusion d’images ou de fichiers illicites
Utilisation de la messagerie pour portée atteinte à une personne physique ou morale
Collecte et diffusion de fichiers musicaux, de film, d’images pornographiques
16
1Les familles de cyber-risques
Piratage de logiciels / Vol de matériels7
Vol des ordinateurs de bureau
Vol des ordinateurs portables
Vol des PDA
Vol de composants techniques (mémoire, écran LCD, etc.)
Copie illégale de logiciels
17
De nombreux textes de loi existent
L’entreprise a des obligations légales1
Loi no 78-17 du 6 janvier 1978 modifiée relative à « l'informatique, aux fichiers et aux libertés » modifiée le 6 Août 2004
Directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la circulation des données
Code civil
Code pénal
Loi no 95-73 du 25 janvier 1995 d'orientation et de programmation relative à la sécurité
Loi no 95-116 du 4 février 1995 portant diverses dispositions d'ordre social
Loi no 97-1159 du 19 décembre 1997 consacrant le placement sous surveillance électronique comme modalité d'exécution des peines privatives de liberté
Loi no 99-944 du 15 novembre 1999 relative au pacte civil de solidarité
Loi no 2003-239 du 18 mars 2003 pour la sécurité intérieure.
18
La loi du 6 août 2004
• Transposition de la directive du 24 octobre 1995 (95/46/CE du Parlement
européen) en droit français le 6 août 2004.
• Préservation des principes fondamentaux de la loi de 1978
(Loi no 78-17 du 6 janvier 1978 relative à « l'informatique, aux fichiers et aux libertés »)
– la déclaration des traitements, – le droit d'accès, – le respect des obligations de confidentialité, sécurité et le maintien de
la finalité.
L’entreprise a des obligations légales1
19
Les nouveaux pouvoirs de la CNIL
• Le pouvoir de perquisition– Droit d'accéder aux locaux ou installations d'une entreprise, servant à la mise en oeuvre d'un traitement de
données la CNIL de 6 heures à 21 heures.– L'entreprise peut s'opposer à cet accès.– La CNIL doit alors solliciter l'autorisation du président du TGI pour passer outre le refus qui lui est opposé.
• Les pouvoirs de sanction– Avertissement à l'entreprise – Mise en demeure de faire cesser un manquement. – Décision d’interruption de la mise en oeuvre du traitement ou de verrouillage de certaines données. – Demande en référé toute mesure de sécurité nécessaire à la sauvegarde des droits de la personne concernée .
• Le pouvoir de sanction pécuniaire – Montant proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.– Premier manquement : maximum 150 000 euros.– Réitération dans les cinq années : peut excéder 300 000 euros ou 5 % du chiffre d'affaires hors taxes du dernier
exercice clos dans la limite de 300 000 euros.– Sanctions pécuniaires recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.
1 L’entreprise a des obligations légales
20
Les marges d’exploitation peuvent être impactées
Le chiffre d’affaires peut diminuer
La productivité peut être affectée
Impossibilité de fournir un service ou un produit
Perte de productivité
Insatisfaction & Perte de clients
Frais et charges supplémentaires non prévues
1.Indisponibilité de ses moyens de production
Les 3 enjeux pour l’entreprise1
21
2.Fuite de ses informations sensibles
Divulgation de données stratégiques (commerciales, cpte rendu réunion DG, etc.)
Espionnage industriel
Vol de fichiers clients / fournisseurs
Perte d’un avantage concurrentiel
Perte de clients
Impact sur l’évolution stratégique de l’entreprise
1 Les 3 enjeux pour l’entreprise
22
3. Risques juridiques
Non respect de la vie privée
Non-conformité aux obligations légales
Perte financière (dommages & intérêts)
Perte d’image
Procés - Tribunal
1 Les 3 enjeux pour l’entreprise
23
1. Evaluer et limiter les conséquences des sinistres
1. Prendre conscience des risques et des menaces qui pèsent sur l’entreprise
• Sommes-nous exposés ?
• Quels peuvent être les conséquences d’un sinistre sur notre activité ?
2. Anticiper et prévenir les risques afin de limiter les conséquences d’un sinistre
Ne pas se considérer à l’abri des problèmes
Une première approche de solution1
24
1. Des initiatives sont prises par les états membres de l’UE et sont appliquées en France
• Intelligence Economique (Initiatives en Lorraine)
• Cnil (aspects Juridiques)Loi no 78-17 du 6 janvier 1978 modifiée relative à « l'informatique, aux fichiers et aux libertés »
2. La normalisation internationale se met en place
• Norme ISO 2700x : Approche Qualité
3. Des directives sectorielles se mettent en place
• BÂLE II (Banque)• COPC (Centre d’appel)• PCI DSS (Commerce électronique CB)
2. Suivre les directives / recommandations
1 Une première approche de solution
25
1 La sécurité est une approche globale
Prévention Détection Réaction
Correction
La sécurité informatique est un concept global,
ce n’est pas une technologie ni un produit
26
1 Approche Structurée
Une approche structurée de la sécurité est indispensable
1. Quels sont les enjeux ?2. Quels sont les risques et les menaces ?3. Sommes nous bien protégé ?4. Quelle est notre politique de sécurité ?5. Quelles mesures complémentaires doit-on prendre ?6. Comment assurer un suivi et un contrôle ?7. Que faire en cas de sinistres ?
27
1 Stratégie Générale
1. La stratégie de sécurité doit intégrer l’approche métier & les enjeux de l’entreprise pour être efficace.
2. La gestion des risques doit devenir une culture d’entreprise.
3. L’approche technologique génère des investissements pas toujours justifiés et justifiables (attention au surinvestissement).
4. Tous les acteurs de l’entreprise (management, utilisateurs, équipes informatiques, etc.) doivent être impliqués.
5. Une approche structurée de la sécurité incluant les aspects organisationnels et techniques est indispensable.
28
1 Modèle de gestion des risques
Définition de la politique de
sécurité du SI
Définition de la politique de
sécurité du SI
Mesure et analyse des enjeux « métiers »
Mesure et analyse des enjeux « métiers »
Stratégie générale d’entreprise
Mesure et analyse des risques résiduels
Mesure et analyse des risques résiduels
Définition & mise en œuvre d’un plan d’actions sécurité
pluriannuel
Définition & mise en œuvre d’un plan d’actions sécurité
pluriannuel
Approche « Top-down »
Approche « Top-down »
Approche « Bottom-up »
Approche « Bottom-up »
Définition & mise en œuvre d’un tableau de bord
sécurité
Définition & mise en œuvre d’un tableau de bord
sécurité
Actions techniques
Actions techniques
Actions fonctionnelles
Actions fonctionnelles
Analyses financières
Analyses financières
1
2 3
4
5
Copyright Ageris Consulting
29
Les mesures de protectionLes mesures de protection
2
30
La maturité des entreprises2
Déploiement de solutions techniques
Organisation &
Formalisation
Pilotage &
Conformité
Le temps de la maturité
Technologique
Le temps de la maturité
Organisationnelle
Le temps de la maturité Décisionnelle
•Protection des réseaux•Protection des systèmes•Protection des applications•Protection des flux
•Formalisation des procédures•Formalisation des politiques•Organisation & responsabilité•Sensibilisation
•« Compliance »•Tableaux de bord décisionnels•ISMS
Temps 1 Temps 2 Temps 3
31
Assurer la continuité des affaires
Utiliser une méthode d’analyse des risques
Organisation et piloter la SSI
Utiliser des normes de sécurité
Définir une politique de sécurité
Quelques recommandations générales2
32
Cadre général et objectif
2 Politique de sécurité
Les finalités de la politique de sécurité interne découlent de celles décrites dans les Lignes directrices de l'OCDE (Lettre n°106 SGDN/DISSI/26007 du 11 mars 1992), à savoir :
Sensibiliser aux risques menaçant les systèmes d'information et aux moyens disponibles pour s'en prémunir,
Créer un cadre général pour aider les personnes chargées, dans les secteurs public et privé, d'élaborer et de mettre en oeuvre des mesures, des consignes et des procédures cohérentes en vue d'assurer la sécurité des systèmes d'information,
Promouvoir la coopération entre les différents départements, services ou unités de l'organisme pour l'élaboration et la mise en oeuvre de telles mesures, consignes et procédures,
Susciter la confiance dans le système d'information,
Faciliter la mise au point et l'usage du système d'information pour tous les utilisateurs autorisés du système d'information.
33
Champ d’application
Politique de sécurité
La politique de sécurité interne :
• Emane de la politique générale de l'organisme • Est en accord avec le schéma directeur stratégique du système d'information.
• Ne doit pas être remis en cause par les seules évolutions technologiques ou celles résultant d'une modification de l'architecture du système d'information
• Le caractère pérenne de la politique de sécurité interne n'exclut pas l'adaptation permanente des mesures de sécurité qui découlent de sa mise en œuvre.
• Doit être prise en compte au niveau de responsabilité le plus élevé.
La politique de sécurité interne est la reconnaissance officielle de l'importance accordée par la direction générale de l'organisme à la sécurité de son système d'information.
Le champ d'application de la politique de sécurité interne découle de celui décrit dans les Lignes directrices de l'OCDE, à savoir :
La politique de sécurité interne s'applique à tous les systèmes d'information, La politique de sécurité interne s'applique à un système existant ou à développer.
2
34
Structure documentaire
Politique de sécurité
Stratégie générale
Politique générale de sécurité
Directives de sécurité
Guides et procédures techniques
Guides et procédures techniques
Guides et procédures techniques
Charte utilisateur
Direction Générale
RSSI
Equipes Opérationnelles
2
35
Objectif d’une charte
Charte utilisateur
➲ Fixer les règles d'utilisation des TIC ➲ Éduquer les utilisateurs au respect de la législation ➲ Faire connaître les ressources informatiques ➲ Informer des règles d'utilisation du réseau propre à l'entreprise ➲ Présenter les dispositifs mis en place (filtrage, conservation des « logs » et
contrôles de l'usage des ressources informatiques...) ➲ Rappeler les sanctions et responsabiliser les utilisateurs
Participation des acteurs● Chaque entreprise doit définir sa propre démarche d’élaboration (Pas de document type ! ).
● Créer une véritable concertation entre les partis concernés Piloté par le chef de la sécurité de l’information (ou équivalent)Piloté par le chef de la sécurité de l’information (ou équivalent) Groupe : Groupe : le responsable informatiquele responsable informatique
la DRHla DRHla communicationla communicationles métiers importants de la sociétéles métiers importants de la société
La participation de partenaires sociaux est un plus indéniable (ex: syndicats)La participation de partenaires sociaux est un plus indéniable (ex: syndicats)
Constitution de la charte● Elle doit être compréhensible par tous● Définir les comportements attendus des utilisateurs
2
36
Les méthodes d’analyse des risques2
Un audit identifie les failles et les vulnérabilités : - Plus la faille est importante, plus la probabilité de survenance d’un incident est élevée
Une analyse des risques intègre l’analyse de la conséquence(l’impact) de l’exploitation de la faille : - Plus la faille est importante et plus l’impact de son exploitation est important, plus la gravité du risque est élevée
Mesure de la gravité
37
Les méthodes d’analyse des risques2
MMééthodes Qualitatives :thodes Qualitatives : Principales Méthodes du marché
EBIOS (DCSSI - FR)
CRAMM (Siemens – UK)
OCTAVE (Carnegie Mellon – USA)
MEHARI V3 (Clusif - FR) -------------------------------------------------------SCORE « Risk management » (Ageris Consulting - FR)
MMééthodes Quantitatives :thodes Quantitatives : Principales Méthodes du marché
SCORE « Risk management » (Ageris Consulting-FR)
ISAMM (EVOSEC – BE)
Mesure des risques intrinsèques (risques perçus)
Et des risques résiduels
Mesure de l’historique des incidents(Situations vécues)
Et/ou des pertes financières potentielles (ALE)
38
Les normes de Sécurité ISO 2700x2
• Nouvelles normes de protection des systèmes d’information (ISO 2700x - Juin & Octobre 2005)
• Modèle et approche identiques aux normes qualités (ISO 900x)
• Possibilité d’obtenir une certification ISO 27001
Conformité
Gestion du Plan de Continuité de
l’Activité
Gestion des incidents liés à la
Sécurité de l’Information
Acquisition, développement et maintenance des
systèmes d’information
Contrôle d’accèsGestion
d’exploitation et des télécommunications
Sécurité physique et environnementale
Sécurité liée aux Ressources Humaines
Gestion des biens
Organisation de la sécurité de
l'information
Politique de Sécurité de
l’Information
ISO 17799:2005
Conformité
Gestion du Plan de Continuité de
l’Activité
Gestion des incidents liés à la
Sécurité de l’Information
Acquisition, développement et maintenance des
systèmes d’information
Contrôle d’accèsGestion
d’exploitation et des télécommunications
Sécurité physique et environnementale
Sécurité liée aux Ressources Humaines
Gestion des biens
Organisation de la sécurité de
l'information
Politique de Sécurité de
l’Information
ISO 17799:2005
39
Plan de continuité des affaires2
PCA : Plan de Continuité d’Activité (Business Continuity Plan)
« Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités » (CRBF 2004-02)
40
Les différents plans constituant un PCA2
Gérer les situations de crise
Assurer la continuité des opérations
Héberger ou relocaliser les utilisateurs
Communiquer (clients, partenaires, autorités, etc.)
Activer les secours informatiques
Prévoir la reprise des activités
Plan(s) de gestion de crise (PGC)
Plan de continuité des opérations (PCO)
Plan d’hébergement ou de relocalisation (PHEB)
Plan de communication (PCOM)
Plan de secours informatique (PSI)
Plan(s) de reprise des activités (PRA)
41
Les acteurs de la sécurité2
• La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions.
• Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques :
- Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité.
- Niveau de pilotage : il s’agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation).
- Niveau opérationnel : il s’agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.
42
La lutte anti-virale et la protection des PCs
Les sauvegardes et la continuité de services
La protection des données & les contrôles d’accès
La protection physique
La protection internet
Quelques recommandations techniques2
La protection des systèmes et des applications
43
Sommaire
La protection Internet2
• Protéger la connexion de l’entreprise au réseau Internet par des dispositifs de filtrage (firewall, proxy, routeur, IDS, etc.)
• Ne pas connecter des machines sensibles directement sur Internet• Protéger les systèmes et les applications (serveur Web, Messagerie,
etc.)
Internet / réseau non sûrRéseau d’entrepriseConnexion directe
44
La lutte anti-virale & la protection des PCs2
• Protéger les systèmes de messagerie et les PC contre les virus informatiques
• Mettre à jour régulièrement les systèmes anti-virus• Mettre en œuvre des solutions anti-spam• Ne pas ouvrir des mails si on ne connaît pas l’expéditeur
D’où viennent-ils ?D’où viennent-ils ?
Les virus sont de petits programmes informatiques développés par des individus iniques qui se diffusent discrètement d’ordinateur en ordinateur via le réseau Internet
Les premiers symptômes de disfonctionnement alertent l’utilisateur qu’il est déjà atteint.
45
La protection des systèmes et des applications2
Contrôle d’accès aux systèmes et applicationsObjectif :Faire en sorte que seuls les utilisateurs autorisés aient accès aux systèmes et applications.Résultats attendus :Prévenir les tentatives d’accès, par des personnes non autorisées, aux ressources internes (serveurs et applications).
Confinement des environnementsObjectif :Protéger les données stockées temporairement par les systèmes contre des accès non autorisés.Résultats attendus :Prévenir les tentatives d’accès aux informations stockées temporairement, par des personnes non autorisées.
Gestion et enregistrement des tracesObjectif :Permettre une analyse a posteriori des actions effectuées et ainsi le diagnostic d’actions anormales ou néfastesRésultats attendus :Dissuader les actions néfastes de la part des utilisateurs ou du personnel d’exploitation et, à défaut, en limiter la durée dans le temps, par un diagnostic suivi de mesures visant à stopper ces actions.
Sécurité de l’architectureObjectif :Mettre en place une architecture globale des systèmes garantissant une continuité de fonctionnement conforme aux attentes des utilisateurs.Résultats globaux attendus :Garantir une continuité de fonctionnement des systèmes en cas d’incident ou de panne.
1
2
3
4
46
Démonstration du logiciel
Les sauvegardes et la continuité de services2
• Prévoir une sauvegarde régulière des données (PC et serveurs)• Faire régulièrement des tests de restauration• Prévoir des machines de secours• Définir un plan de continuité d’affaires• Faire des tests du plan de secours
• La continuité de service ne concerne pas uniquement l’informatique : les branches métiers et les utilisateurs doivent également être impliquées
Plan de Continuité d’Affaires vs Plan de Secours Informatique
47
La protection des données et les contrôles d’accès2
• Au minimum, des mots de passe confidentiels doivent être activés pour protéger les informations sensibles.
• Des moyens d’authentification forte peuvent également être déployés selon les besoins
• Le chiffrement des données sur le disque dur des PCs (notamment des portables) est un plus si les données sont critiques
48
La protection physique2
• La protection de l’environnement de travail des utilisateurs doit être assurée (contrôle d’accès visiteurs, rangement des bureaux, broyeur de papier sensible, armoire fermée à clé, etc.)
• La salle informatique et les locaux techniques doivent être protégés contre les intrusions
• Les ordinateurs (UC, écrans, portables) doivent être protégés contre le vol
49
En conclusion
• Les enjeux et les risques pour l’entreprise sont importants et ne doivent pas être négligés voire minimisés.
• Des solutions organisationnelles et techniques existent pour prévenir les risques et limiter leur conséquences
• Il ne faut pas hésiter à dresser un bilan de la situation et se faire aider si nécessaire