Le blog Exodata

PME  : Il est temps de sécuriser votre S.I.

Rédigé par Stéphane Jaillet | Jan 16, 2019 8:00:00 PM

Temps de lecture estimé : 15 minutes

Avant toute chose, la bonne question qu’il faut se poser n’est pas si vous allez être attaqués mais plutôt quand…

La cybersécurité des PME est importante et pose problème car elle mobilise des moyens pas toujours adaptés pour protéger les systèmes d’information. Comme le risque zéro n’existe pas, il est important d’en être conscient et de mettre en œuvre des actions pour s’en prémunir.

Voici quelques conseils et moyens simples qui vous permettront de vous protéger contre le plus grand nombre et de mieux réagir en cas d’attaque.

01. Définir une politique de sécurité (une vraie !)
02. Déterminez ce qui est critique pour votre entreprise
03. Former vos employés
04. Surveillez vos réseaux WI-FI
05. Effectuez des sauvegardes régulières et systématiques de vos données
06. Inventaire de vos appareils
07. Ça vous intéresse, mais vous préférez vous concentrer sur votre métier ?
08. Avantages pour votre entreprise

01. Définir une politique de sécurité (une vraie !)

La sécurité informatique ne s'improvise pas et ne se bâtit pas en réaction à la suite d'une attaque ou en réaction à un fait d'actualité. Comme la stratégie pour son entreprise, il est important de se donner un cap et de prendre le temps d’élaborer un vrai plan d’actions.

Il faut définir le périmètre à protéger, se fixer des objectifs, nommer des responsables en corrélation avec les budgets que vous estimez raisonnable pour la protection de vos données. Le périmètre, les priorités du périmètre et les interventions doivent être définis par écrit. Toutes ces étapes d’organisation sont importantes car il est essentiel d’avoir les bons réflexes et d’éviter toute maladresse malencontreuse dans un moment de panique.

02. Déterminez ce qui est critique pour votre entreprise

Les entreprises sont aussi différentes que les gens et ont toutes des choses différentes à protéger. Examinez de près ce qui compte vraiment pour votre entreprise et son adéquation avec vos objectifs globaux.

  • Définir quelles sont les informations qui font la valeur de votre entreprise ? (on le nomme “patrimoine informationnel” : exemple des données confidentielles client)
  • Savez-vous où se trouvent toutes vos informations (bases de données, serveur de fichiers, Cloud…) ? 
  • Propriété intellectuelle
  • Données financières
  • Informations du patient
  • Fonctions commerciales critiques, etc.

03. Former vos employés

L'élément humain est souvent le maillon faible de la sécurité informatique d'une entreprise. Entraînez vos employés à utiliser des mots de passe forts et à éviter les liens et les pièces jointes dangereux. Il faut indiquer aux personnels quels sont les bons comportements à tenir face aux menaces de ce type, clef USB ou e-mail frauduleux, etc.

Des règles de comportement simples permettent de déjouer bien des attaques. Certains pirates informatiques ont recours à l'ingénierie sociale car elle est bien plus simple à mettre en œuvre qu'une cyberattaque sur un système d'information protégé. Des entreprises ont dû faire face aux « arnaques au président »  : L’art du FOVI (Faux ordre de virement) consiste à abuser d'un employé ou d'un assistant comptable afin d'exiger un virement bancaire.

Elle nécessite une phase préalable de connaissance de l’entreprise ciblée, de son personnel, et de ses dirigeants. La première contre-mesure, c'est de responsabiliser le personnel.

Pour aller plus loin des sessions de sensibilisation des collaborateurs existent ainsi que des formations plus techniques (CISSP, CRISC, CISM, CISA, Ethical Hacking, ITIL V3 FOUNDATION).

04. Surveillez vos réseaux WI-FI

Attention les routeurs ADSL ou 4G déployés par les salariés doivent être formellement interdits, ces accès Internet clandestins posent un sérieux problème de sécurité informatique, les bornes Wi-Fi déployées dans les locaux de l'entreprise doivent être placées sous très haute surveillance.

S’ils sont mal sécurisés, ils sont de véritables invitations au piratage. Simple voisin de palier ou depuis un véhicule garé dans la rue les pirates ont de multiples outils à leur disposition pour décrypter les mots de passe Wi-Fi en quelques minutes. Contrôler ces accès est une des étapes importantes dans le processus d’amélioration de la sécurité de vos données et doit faire partie de la politique de sécurité informatique de l'entreprise.

N’hésitez pas à faire auditer votre réseau et/ou réaliser des tests d’intrusion réguliers au prêt de spécialistes certifiés (Formation Ethical Hacking par exemple).

05. Effectuez des sauvegardes régulières et systématiques de vos données

Les données informatiques sont l’or noir de l’entreprise. Ces données peuvent être compromises suite à un vol, une panne informatique ou un incident survenu au sein des locaux (incendie, dégât des eaux).

Pour éviter toute perte dommageable et la mise en danger de l’entreprise, il est nécessaire de réaliser des sauvegardes aussi souvent que possible sur des supports mobiles ou d’externaliser les sauvegardes auprès d’un service cloud. Évidemment les données les plus sensibles (données vitales à la survie de la PME) restent sous le contrôle du chef d’entreprise ou administrateur.

06. Inventaire de vos appareils

Identifiez et sécurisez tous les périphériques utilisés par vos employés, y compris les clés USB, les smartphones, les tablettes et les ordinateurs portables. Seulement 17% des PME prennent des mesures pour sécuriser les données de l'entreprise sur leurs appareils personnels.

Ces appareils sont fréquemment perdus ou volés lors de déplacements. Le développement du « Home office » favorise cet état de fait. Ces terminaux perdus ou volés sont la cause d'importantes fuites de données informatiques d'entreprise. Il est primordial d’être capable de les Geolocaliser, de les activer ou désactiver à distance et de pouvoir en effacer le contenu dès la perte signalée. Des solutions type MDM (Mobile device management) existent et vous permettent de gérer la sécurité de vos outils mobiles en société.

https://www.pcmag.com/article/342695/the-best-mobile-device-management-mdm-software

Autre point, pour les appareils et documents en fin de vie il est important de procéder à une restauration complète des équipements avant de les éliminer.

07. Ça vous intéresse, mais vous préférez vous concentrer sur votre métier ?

Le SOC (Security Opération Center) peut être la solution à vos besoins :

Vous bénéficiez d’une surveillance en temps réel de la sécurité de vos actifs. Vous êtes informés en cas d’incidents et tout comportement malveillant est détecté en amont. Une équipe de spécialistes est à votre disposition pour surveiller et prendre soin de votre sécurité : vous gagner du temps en vous concentrant sur votre cœur de métier. Si vous le souhaitez, vous pouvez être accompagnés pour la mise en place de la gouvernance « sécurité » ou dans la définition de l’architecture de sécurité.

08. Avantages pour votre entreprise

  • Une équipe d’experts à votre service
  • Une simplification de la gestion du périmètre à sécuriser
  • Pas de gestion des mises à jour et des évolutions de produits
  • Une meilleure réactivité et rapidité de service
  • Une optimisation des coûts
Annexe : Pour aller plus loin

Autoformation à la sécurité du poste de travail de l'ANSSI
Sécurité du SI : pourquoi les méthodes classiques ne marchent pas
Protection de l'information et cloud computing, guide du Cigref
Éduquer les acteurs de l'entreprise aux risques numériques, guide du Cigref, guide des bonnes pratiques informatiques de l'ANSSI.

Pour recevoir nos prochains articles sur la cybersécurité, abonnez-vous à notre blog.