Acheter la norme

ISO 27001 pdf

norme Cette norme peut être achetée en ligne (ainsi que les autres normes) en version papier ou en PDF sur le site de l'AFNOR. Voici le lien direct : acheter la norme ISO 27001

Ce document vous permettra de:

  • Vous familiariser avec la norme, son lexique et sensibiliser vos collaborateurs au sujet de la sécurité informatique.
  • Définir le niveau de sécurité dont vous avez besoin et identifier les points sensibles dans votre entreprise.
  • L'adapter à votre fonctionnement spécifique: certains points vous concerneront plus que d'autres.
  • Préparer le terrain en vue d'une future certification: vous profiterez alors pleinement de l'expertise des auditeurs et certificateurs en leur posant les questions pertinentes et concrètes pour votre cas de figure.

Cette norme a vu le jour en 2005 et son succès est grandissant, à l'instar de l'ISO 14001 (norme environnementale), car les partenaires (fournisseurs, clients, assureurs ou autres...) demandent de plus en plus de garanties concernant la protection des données ou des process informatiques.

Les étapes et le coût d'une certification

certification

certification La décision d'entamer une démarche de certification ISO 27001 doit être entreprise dans le but réel de renforcer la sécurité informatique et non d'obtenir le certificat seul. En effet, cette démarche laisse la place à toute la personnalisation nécessaire à la spécificité de votre environnement de travail et à vos process. Les métiers étant très différents, les systèmes d'information qui les accompagnent le sont également. Il s'agit donc d'une méthode d'amélioration permanente, sur le mode du PDCA (Plan, Do, Check, Act) ou dans l'esprit de la roue de Deming, que vous devez adapter à votre prore système.

Trois audits sont nécessaires pour la certification :

  • l’audit initial, qui diagnostique la situation et détermine les objectifs
  • l’audit de surveillance, qui vérifie le SMSI, la mise en place des actions correctives et le bon suivi de la méthode.
  • l’audit de renouvellement : l'audit final qui vérifie la correction des non-conformités relevées dans les audits précédents. S'il est validé, le certificat est délivré.

Devis certification

Vous cherchez un partenaire pour entammer votre démarche de certification?
En remplissant ce formulaire vous serez mis en contact avec un certificateur pour tout conseil et devis:

J’accepte que les informations transmises via ce formulaire soient communiquées à nos partenaires IMSM pour la fourniture d’un devis correspondant à votre demande. Elles sont conservées pendant le temps du traitement commercial (moins d’un mois). Vous pouvez à tout moment exercer votre droit d’accès, de rectification et d’effacement en nous contactant sur info(at)iso27001.fr . Responsable de traitement: voir les mentions légales du site.

(La case "j'accepte" doit être cochée)

Les avantages d'être certifié

sécurité numérique

avantages L'investissement que représente le coût d'une certification est vite rentabilisé quand on considère ses avantages:

  • Pour les entreprises travaillant dans le numérique, qui sont de plus en plus nombreuses, et pour toutes les grandes entreprises et PME des autres secteurs d’activité, la certification ISO 27001 est un atout commercial majeur. En effet, le choix d’un prestataire ou d’un fournisseur, surtout quand il s’agit de sécurité et de confidentialité, se fait de moins en moins sur le prix. C’est maintenant l’aspect qualitatif et les garanties apportées qui sont les critères principaux. Lorsqu’on touche à des aspects aussi sensibles que la cyber-sécurité et, au final, l’image de marque, il n’est alors pas question de faire de petites économies.

  • La certification est le gage d’une démarche qualité durable, d’un professionnalisme rigoureux et donc du sérieux d’une entreprise. Dans certains secteurs, elle est déjà devenue un critère sine qua non pour l’attribution de marchés, et il est fort probable que ce mouvement se propage à toutes les activités B to B.

  • Au-delà de l'image qualitative, moderne et sérieuse qu’une certification peut apporter à une entreprise, c’est également et surtout la sécurité de votre entreprise qui est en jeu et donc sa pérennité. Il ne s’agit donc pas seulement d’un avantage concurrentiel mais aussi de vous prémunir contre les nouveaux dangers liés à l’informatisation globale.

  • Pendant le processus d’analyse du fonctionnement de votre entreprise, en termes d’utilisation du système d’information, il est courant de trouver des process, équipements ou logiciels inutiles, coûteux, redondants ou sur-dimensionnés… L’amélioration de la qualité, qui consiste notamment à repérer les non-conformités et à appliquer des actions correctives et préventives, n’engendre pas forcément de coût supplémentaire d’investissement et permet bien souvent de réaliser des économies en simplifiant le système. La simplicité, dans ce domaine, étant bien souvent synonyme de fiabilité, de lisibilité et de sécurité.

  • Les assurances professionnelles peuvent également demander ces certifications ou faire bénéficier les clients dotés d’une démarche qualité sécuritaire de tarifs préférentiels.

Formation

formation iso 27001

Si vous n’avez pas la possibilité de mettre en place une procédure de certification à court ou moyen terme, par manque de temps ou de budget, vous pouvez choisir de sensibiliser vos collaborateurs, salariés ou vous-mêmes au sujet central et stratégique de la sécurité informatique.
Pour toutes les formations concernant les principes de l'audit interne sur les normes ISO en général, vous pouvez utiliser le formulaire ci-dessus (demande de prix ou d'informations).

L’AFNOR propose la formation suivante intitulée : « Comprendre le référentiel de management de la sécurité de l'information »

Cette formation est ouverte à tous, elle ne nécessite pas de connaissances particulières. Les personnes concernées en premier lieu sont les responsables de la sécurité informatique, dirigeants, cadres et DSI, mais chaque personne intervenant dans la chaîne du système d’information de votre entreprise peut également en être informée.

La durée de cette formation est de 2 journées de 7 heures et son coût est de 1220 euros ht.

L’objectif est de vous familiariser avec l’ensemble de la norme, son vocabulaire et les procédures qui vous permettront d’assurer la sécurité et l’intégrité de vos données et de votre système informatique. A terme vous serez capable d’évaluer et de maîtriser les risques pour vous prémunir contre toutes attaques, malveillances, pertes ou fuites accidentelles d’informations et autres erreurs humaines.


Vous serez sensibilisés notamment à des cas concrets, rencontrés quotidiennement dans la vie de l'entreprise et notamment, les risques liés :

  • aux échanges de données sur internet
  • aux supports extérieurs apportés dans l’enceinte d’une entreprise (type clé USB)
  • à l’utilisation de l’email en réception et émission
  • à la gestion des mots de passe sur internet ou intranet
  • à la gestion des comptes utilisateurs, de leur droit d'accès et de leur niveau de confidentialité
  • à l’installation de logiciels, à leur utilisation et à leur mises à jour de sécurité
  • au stockage de données en cloud ou en local
  • à l’utilisation des protections : antivirus, anti-malware, anti-spyware…
  • à l’utilisation des logiciels de sauvegarde automatique, des hébergement sécurisés, archivage numérique et coffres-forts électronique
  • etc. (voir nos conseils en sécurité informatique)

En dehors de l’aspect sécuritaire, vous pourrez également mettre à plat, simplifier, formaliser et mieux contrôler votre système d’information, ce qui contribue largement à l’amélioration des performances de l’entreprise. L’aspect humain est aussi à prendre en compte : beaucoup de stress et de perte de temps peuvent être évités à ce niveau.

Si vous souhaitez devenir auditeur certifié iso 27001, l’afnor propose également une formation certifiante d’une durée de 3 jours pour 1300 euros ht. Celle-ci est ouverte aux personnes ayant au moins 5 ans d’expériences dans le Système de Management de la Qualité, ou BAC +2, ainsi qu’une connaissance préalable de la norme, que vous pouvez vous procurer plus haut.

La famille iso 27000

les normes iso 27000

La famille des normes ISO 27000 correspond aux différentes étapes de la démarche qualité

Toutes les normes ISO fonctionnent sur le principe du PDCA (plan, do, check, act), un cycle d’amélioration permanente de la qualité. Il s'agit donc de planifier, faire, vérifier et corriger, puis de recommencer cette boucle. Pour ce faire, il est nécessaire de mettre en place un tableau de bord, comportant des indicateurs choisis avec soin.

  • ISO 27000 présente le vocabulaire associé au SMSI, il s’agit d’un glossaire et de définitions permettant de cerner l’objet de la norme et de normaliser les termes employés pour celle-ci.
  • ISO 27002 - Mesures de sécurité : il s’agit d’un ensemble de 113 bonnes pratiques réparties sur 18 chapitres, une liste complète des éléments de sécurité informatique, qui concernent aussi bien le matériel, les procédures, le chiffrement des données, les sauvegardes… (plan)
  • ISO 27003 – Implémentation, c'est-à-dire la procédure de réalisation et de mise en œuvre (do)
  • ISO 27004 - Indicateurs SMSI : L’ISO 27004 est la partie de la méthode de certification qui vise à doter le système d’évaluation d’indicateurs fiables pour mesurer de niveau d’efficacité du système de management de la sécurité de l’information. (check)
  • ISO 27005 - Gestion de risque (Act)
  • ISO 27006 - Certification de SMSI
  • ISO 27007 - Audit de SMSI : un auditeur externe, d'un organisme de certification agréé teste la procédure du SMSI point par point et détermine si la certification est accordée ou si des actions restent à mettre en oeuvre.

La méthodologie

logo

méthode Les audits porteront aussi bien sur la gestion des risques, des ressources humaines, des actifs (biens matériels, équipements), des process et des incidents. Au sujet des incidents qui sont les conséquences réélles de la présence de non-conformités, il est important d'en faire la consignation systématique pour établir un historique et d'utiliser les outils d'analyse comme l'arbre des causes, diagramme listant et reliant les causes et les effets pour chaque événement.

Là encore, la méthodologie mise en œuvre est celle du PDCA (Plan, Do, Check, Act) qui constitue un cycle permanent.

  • Planification (Plan) : On définit les objectifs : Après avoir analysé les causes des non-conformités détectées il s’agit d’élaborer les solutions et de déterminer leur pertinence pour l’entreprise (« est-ce que l’entreprise a besoin d’un tel niveau d’exigence ? » il arrive que ça ne soit pas le cas.)

  • Action (Do) : Mise en place des actions correctives en fonction des objectifs ciblés.

  • Vérification (Check) : On mesure les résultats des actions, en utilisant un tableau de bord et des indicateurs chiffrables qui constituent le référentiel.

  • Correction (Act) : En fonction de la mesure des nouveaux résultats, on repère le niveau des non-conformités qu’on compare aux objectifs, puis on repart sur la partie planification, et ainsi de suite.

Glossaire de la sécurité informatique

glossaire Voici quelques définitions de mots souvent employés dans le domaine de la sécurité informatique.


Administrateur : Personne physique responsable légale des actions effectuées sur un poste ou un réseau .Il en donne et gère les accès. Son rôle est d'assurer un bon fonctionnement du système et d'assurer une pérennité du matériel mis en oeuvre.

Adresse I.P. (Internet protocol) :
C’est l’adresse attribuée a chaque ordinateur lui permettant d'échanger des informations sur les réseaux. Des logiciels permettent de la masquer en partie ou totalement. Elle peut être fixe (unique) ou dynamique (pour éviter tout repérage). IP6 est le dernier protocole de gestion d'IP. Il supporte un nombre toujours croissant de postes.

Backdoor (porte dérobée):
Acces distant caché vers une machine. Des failles sont utilisées pour pénétrer le système distant. Quand une "porte" est découverte, elle peut être utilisée pour simplement visiter la machine, y voler des informations ( traces de transactions bancaires ou autres infos confidentielles) installer, supprimer des fichiers...

Cheval de Troie ( Trojan ):
C'est un logiciel (souvent malveillant ) caché dans un autre programme. Cela peut être un logiciel client permettant un accès total à votre PC un espion qui dérober des mots de passe et/ou adresses email un tracker répertoriant vos actions sur la machine... EX:SubSeven ou BackOrifice

Cookie :
C'est un fichier contenant des données de connexion entre une machine et un serveur. Il est stocké sur votre poste ou sur le serveur web que vous avez visité. Il permet de stocker des informations telles que les sites visités (heure, durée, pseudonyme , l'âge du capitaine ), des mots de passe (cryptés ou "en clair") ou autres. Des sociétés publicitaires utilisent les cookies pour récupérer toutes vos actions peuvent être passées au crible. Nom, appartenance politique, adresse, situation familiale , revenus centres d'intérêts, religion, les sites concurrents... Les renseignement ainsi récupérés peuvent ensuite alimenter une base de donnée pour cibler vos besoins (Dans le meilleur des cas). Un visiteur (ou serveur) mal intentionné peut aisément les consulter. Les cookies sont désactivables a partir des paramètres de configuration de votre navigateur.Il existe aussi d'autres programmes permettant une suppression sélective.

Cryptage :
Technique permettant d'empêcher la lecture de données par d'autres personnes, en les rendant illisibles. Jules César utilisait une technique sommaire de cryptage pour communiquer avec ses généraux en campagne. Il remplaçait chaque lettre par celle se trouvant trois places plus loin dans l'alphabet . ex: Xq shx vlpsoh, qrq? (Un peu simple, non?). Actuellement, il existe de nombreuses méthodes pour sécuriser ses courriers, fichiers, répertoires (RSA, SSL/TTL...)

Déni de service ( Dos ):
Méthode consistant a utiliser des nombreuses machines sur internet vers une cible unique afin d'en saturer la bande passante. Les machines utilisés ont été piratées au préalable et sont utilisés de force lors de cette attaque. Les seules solutions actuelles sont une meilleure gestion de la part des administrateurs réseau plus de collaboration entre opérateurs et fournisseurs d'accès et l'installation d'un firewall personnel pour l'utilisateur.

Firewall ( Pare-feu ):
C’est un dispositif de protection qui constitue un filtre entre un réseau local et un autre réseau non sécurisé, tel que l'Internet. Il bloque les ports inutilisés qui peuvent être la cible d'attaques. Il peut être de type matériel(en entreprises,machine dédiée) ou logiciel(définition de règles pour accepter telle ou telle connexion). Si l'un d'eux fait l'objet d'une requête externe, une invite s'affiche à l'écran proposant de définir une rêgle pour toute demande similaire. (Tiny firewall, BlackIce, Zonealarm, Bastille, IPchains)

Hack :
La définition au sens strict est "Modifier; qui modifie". Cela ne signifie pas simplement détruire ou utiliser des logiciels. Cela inclut une connaissance approfondie des systèmes d'exploitation ainsi qu'un travail de fond sur les réseaux. En principe, c'est l'exploit qui motive son action . Le simple fait d'utiliser des programmes ne relève pas du hacker.

LAN ( Local Access Network ):
Réseau local.

MAN ( Metropolitan Access Network ):
Réseau urbain.

Mouchard :
Programme espion installé a votre insu, il sert a enregister des données sans votre accord( email, carnet d'adresse, sites fréquentés, ...) de la machine et des logiciels.

Ping:
C'est une méthode de recherche d'une machine distante connectée à internet. Des paquets sont envoyés vers une IP. Si la machine renvoie une réponse, elle est en ligne.

Proxy:
C'est un relais entre le réseau local et le Web . Il a souvent un rôle de pare-feu (cf. firewall) et bloque les ports inutilisés. Chez un fournisseur d'accès (FAI), il stocke les différents sites visités afin d'en permettre un accès plus rapide en cas de besoin. Il peut être configuré pour rafraîchir automatiquement les pages mémorisées. On peut utiliser un proxy pour assurer son anonymat. Toutes les données utilisateur sont filtrées avant de parvenir au site et ce qui ressort du site subit le même traitement.

Port :
Les ports sont employés pour identifier des processus du réseau. Leur mission est de véhiculer l'information. Chaque protocole utilise le (ou) les ports spécifique(s) qui lui est assigné(s). Tout port inutilement ouvert constitue une menace d'acces extérieur potentiel.

Réseau :
C'est le terme désignant un groupe d'ordinateurs reliés physiquement entre eux en vue de partager les ressources. Il en existe 3 types, MAN, WAN et LAN. Par extention, peut aussi définir le parc d'une société.

Routeur :
C'est une machine qui reçoit des données et les renvoie vers une adresse définie.

Scan :
Recherche sur le réseau de machines ayant des ports ouverts acceptant les connexions (et donc potentiellement vulnérables). Cette action n'est pas un acte répréhensible en elle même et permet de vérifier sa sécurité. Cette technique est utilisée par les pirates à d'autres desseins.

Sniffer:
Un sniffer est un logiciel qui récupère les données transitant par le biais d'un réseau local. Elles sont aisément consultables et peuvent servir à voler des mots de passes ou toute autre info. Ce type de programme est de taille réduite et difficilement repérable.

Spam :
Emails indésirables (publicité pour la plupart). Les adresses sont souvent récupérées sur des forums ou sur des sites de petites-annonces. Cela représente une réelle intrusion de la vie privée.

Spoofing :
C'est l'action de faire apparaître sa machine sous une adresse IP ainsi qu'un hôte "empruntés". Il suffit de connecter son poste a une machine relais qui va chercher les informations désirées.

Syn Flood :
Il S'agit d'une attaque de type Denial of Service (DoS) et ne repose pas sur un bug logiciel. Comme toutes les attaques DoS, il utilise les failles d'un protocole bien particulier, le TCP/IP.

URL (Uniform Ressource Locator):
Adresse distante permettant d'accéder à un site web ou une ressource sur Internet

Virus :
Programme (routine de quelques Kilo-octets) ayant pour objectif de détruire ou corrompre le systeme d'exploitation a court ou moyen terme. Sa misson première est de se multiplier afin d'assurer sa pérennité. Récemment encore exclusivité des systèmes Microsoft, les nouvelles générations sont multi-plateforme et contaminent Linux (lindose...). La meilleure protection est actuellement de fréquemment mettre a jour son antivirus tout en essayant au maximum de vérifier les sources des programmes que l'on récupère.

VPN ( Virtual Private Network ) :
...ou réseau virtuel privé. Un VPN est construit en cryptant un flux d'informations IP entre deux routeurs, ou entre plusieurs postes et un routeur, garantissant à la fois la provenance et la confidentialité des échanges.

Wan ( Wide area network ):
Ce type de réseau géographiquement étendu correspond à de nombreuses machines interconnectées par des liens autres que les connexions Ethernet d'un réseau local. Par exemple, l'internet est le plus vaste Wan de notre planète.

Principaux risques et dangers

La destruction, utilisation ou corruption d'information:

Les données personnelles d'un particulier ne doivent pas être détruites ou divulguées. Il faut donc empêcher par des logiciels les actions non désirées. Pour l'entreprise, ces actions peuvent occasionner de lourdes pertes d'argent et de temps. Il faut protéger les postes soit en isolant ceux dits "sensibles", soit en mettant en place un réseau privé virtuel assorti d'un solide pare-feu. Il est primordial de fréquemment mettre à jour les systèmes d'exploitation afin d'éviter l'utilisation de failles récentes. Des sauvegardes régulières doivent également être faites sur support externe.

Déni de service:

( Ddos ou distributed denial of service) L'internet supporte un grand nombre d'entreprises travaillant uniquement en ligne. Or, il est actuellement possible de faire "tomber"(saturer) un serveur web, bloquant en même temps toute activité financière. Pour le fonctionnement de la société, une qualité de service doit être garantie et maintenue. On estime à 10 000 Euros par minute le manque à gagner dû a l'arrêt d'activité d'un site de commerce en ligne.

Vol et utilisation d'informations confidentielles:

les données informatiques sensibles (numéros de carte bancaire, dossiers médicaux...) doivent être protégées. Il faut utiliser des protocoles de transfert sécurisés, tel que SSL "Secure Sockets Layer" ou TLS "Transport Layer Security", pour empêcher qu'ils puissent être récupérables et gérer les droits en lecture, accès, écriture aux différents répertoires d'un même serveur.

Rebonds:

Pour s'attaquer à des serveurs, les pirates recherchent des machines non protégées qu'ils vont ensuite utiliser pour agir discrètement, à l'insu de leurs propriétaires. En utilisant un logiciel d'accès distant sur ces machines, ils peuvent, en tout anonymat, atteindre leur cible.

L'utilisation frauduleuse de ressources:

Intrusion extérieure (ou intérieure) sur une machine sans autorisation et utilisation de ressources réservées (calcul, espace disque, logiciels). Il est important de protéger sa machine contre ce type d'intrusion. Légalement, c'est la société ou le particulier possesseur de la machine victime de l'intrusion qui sera tenu responsable en cas d'utilisation de logiciels piratés ou de stockage de contenus illicites.

14 conseils simples pour optimiser votre sécurité informatique.


En matière de cybersécurité, quelques actions simples permettent d'éviter 95% des risques d'attaques informatiques ou d'infections. En suivant ces 14 conseils, vous disposerez d'une sécurité de base.

  1. Equipez-vous de logiciels de protection : antivirus, firewall, anti-malware et assurez-vous régulièrement de leur mise à jour, surtout pour l'antivirus. Vous n'êtes pas obligés d'acheter ces logiciels, vous pouvez vous équiper gratuitement en utilisant comme antivirus Windows Defender, la version gratuite de MalwareBytes comme anti-malware, le firewall intégré dans Windows et Crap Cleaner pour nettoyer cookies, cache et autres fichiers temporaires. Si vous êtes sous Mac ou Linux, vous trouverez également des logiciels gratuits équivalents. On entend souvent dire que les systèmes d'exploitation Mac ou Linux ne font pas l'objet d'attaques informatiques, et qu'ils n'auraient pas besoin de protection: c'est faux. Même s'il est vrai qu'ils sont moins ciblés à l'origine, ils restent vulnérables (et d'autant plus à cause de la diffusion de ce type de rumeur).

  2. Mettez à jour tous les logiciels que vous utilisez, ainsi que votre système d’exploitation (Windows ou autre). Pour vous simplifier la tâche, il existe des logiciels de vérification automatique, tels que FileHippo App Manager.

  3. N’ouvrez pas les pièces jointes reçues par mail à moins d’être bien certain qu’ils proviennent de contacts connus (et même dans ce cas, vérifiez bien le contenu du mail ou le nom de la pièce jointe, car il arrive que des comptes email appartenant à vos connaissances puissent être piratés). N'ouvrez jamais des fichiers portant l'extension .exe, .com, .bat ou tout autre exécutable. Même les fichiers Excel (.xls) peuvent contenir des virus sous la forme de macros.

  4. Dans votre entreprise, prévenez vos collaborateurs de ne pas apporter de périphériques externes types clés USB ou disques durs externes provenant de l’extérieur. De même, ne connectez jamais de clé USB que vous auriez trouvée par terre par exemple.

  5. Faîtes régulièrement des sauvegardes de vos données, et débranchez le périphérique de stockage de votre réseau ensuite. Dans l’idéal, utilisez des services professionnels d’archivage numérique ou de coffre-fort électronique pour les sauvegarder chez un tiers de confiance.

  6. Changez vos mots de passe régulièrement et choisissez des mots de passe longs et compliqués. N'utilisez jamais de mots simples, l'attaque brute force utilise les mots du dictionnaire pour les essayer un par un. Ne les notez pas à proximité de votre poste de travail sur un post-it, si vous avez peur de les oublier, choisissez des phrases très personnelles que vous pourrez retenir facilement. Dans l’idéal mélangez chiffres, lettres, majuscules et caractères spéciaux. Là aussi, il existe des logiciels gestionnaires de mots de passe comme Keepass ou Dashlane.

  7. Appliquez un mot de passe à votre session windows et fermez là lorsque que vous quittez votre poste de travail, même brièvement.

  8. Veillez à bien gérer les permissions d’accès aux données les plus sensibles (les utilisateurs de votre réseau ne doivent pas avoir les mêmes autorisations d’accès que l’administrateur). Si un collaborateur quitte votre entreprise, changez les codes et mots de passe auxquels il avait accès.

  9. Déconnectez vos appareils du réseau internet en dehors des heures d’utilisation.

  10. N'installez pas de logiciels dont l'éditeur n'est pas vérifié (vous aurez cette information à l'ouverture de la boîte de dialogue de Windows avant la première étape d'installation).

  11. Prenez garde aux objets connectés, certains ne sont pas sécurisés et peuvent servir d'interfaces pour accéder à votre réseau. De même, n'oubliez pas de sécuriser vos téléphones portables et tablettes.

  12. Ne divulguez pas vos données sensibles sur les sites internet, en particulier quand il ne sont pas sécurisés en https.

  13. Cryptez vos données les plus senisbles avec un logiciel de chiffrement (comme AxCrypt, qui est gratuit).

  14. Eventuellement, utilisez un VPN pour masquer votre IP et donc vos actions et traces sur internet. Votre adresse IP est votre signature internet à partir de laquelle il est possible d'être identifié, géolocalisé et suivi. Un pirate peut ensuite trouver une faille, comme un port ouvert, pour pénétrer votre système. Un VPN (comme HMA par exemple) vous permet de changer votre IP en choissant celle d'une ville ou d'un pays de votre choix, et donc d'être moins visible et ciblé.