9 points clefs pour sécuriser votre informatique d’entreprise

Les médias nationaux nous relatent de plus en plus régulièrement des cas de cyberattaques informatiques à l’encontre de grandes entreprises. Nous observons aussi ce phénomène chez les TPE/PME que nous rencontrons.

Les enjeux de la sécurité informatique

La cybersécurité est de plus en plus complexe à appréhender et pose donc un vrai problème pour une TPE/PME qui ne peut mobiliser que peu de ressources internes pour protéger son informatique. Vol ou destruction de données, déni de service, escroqueries financières, espionnage industriel… autant d’attaques dont les entreprises sont de plus en plus victimes et dont les conséquences peuvent être dramatiques. Il est donc essentiel de mettre en œuvre une politique de sécurité informatique en conformité avec le RGPD sans pour autant engager des investissements colossaux.

EMS INFORMATIQUE vous propose 9 règles de bonnes pratiques pour limiter les risques sur votre entreprise et vous offre la possibilité de réaliser un audit complet sur votre sécurité informatique :

1. Rédiger une politique de la sécurité informatique et une charte informatique

La première chose à réaliser est de poser sur le papier le périmètre de votre système d’information à protéger. Il est essentiel de déterminer quelles sont les applications les plus sensibles et les plus importantes pour la continuité de votre activité afin de limiter éventuellement le périmètre des données à sécuriser.

La rédaction d’une charte informatique permet de mettre en œuvre des mécanismes de surveillance des accès et permet de sensibiliser les utilisateurs de votre réseau aux bonnes pratiques de l’informatique en entreprise en responsabilisant les utilisateurs quant à l’utilisation qu’ils font des outils mis à leur disposition ainsi que le partage d’éventuelles données sensibles (DCP, R&D) sur des réseaux sociaux par exemple.

2. Contrôle des accès internet de l’entreprise

Chaque point d’accès Internet de l’entreprise, qu’il soit au siège ou dans chaque site distant, est potentiellement un passage que va emprunter un pirate pour accéder au système informatique de l’entreprise. En cas de réseau multi-sites, pour simplifier la sécurité informatique globale, il convient d’en limiter au maximum le nombre, privilégier une approche de réseau sécurisé privé virtuel (VPN) avec une sortie Internet sécurisée unique en cœur de réseau.

Difficile aujourd’hui d’interdire aux salariés de surfer sur le Web, cependant des limitations peuvent être réalisées avec des solutions de pare-feu. Cela permet de réaliser un filtrage antivirus sur les contenus échangés avec Internet et de bloquer les contenus ou serveurs douteux en se basant sur des listes régulièrement mises à jour.

Juridiquement, il est du devoir de l’employeur de filtrer les sites liés au piratage d’applications, aux échanges de liens de téléchargement illicites ou des sites pornographiques.

3. Contrôler les accès WI-FI

Les bornes Wi-Fi, parfois non sécurisées, déployées dans les locaux de l’entreprise doivent être placées sous haute surveillance. Bien souvent ces bornes permettent un accès direct à votre réseau.

Selon la portée de la borne, le point d’entrée non protégé peut même être accessible depuis l’extérieur des locaux. Contrôler ces accès doit faire partie de la politique de sécurité informatique de l’entreprise.

EMS INFORMATIQUE propose une solution de gestion centralisée de vos bornes Wifi. Leur puissance pourra ainsi être ajustée et le contrôle et la journalisation des accès permettra de limiter considérablement les risques de piratage.

4. Sauvegardes

En cas de défaillance du système d’information (SI), la possibilité de restaurer des données préserve l’activité de la PME. Cette capacité de restauration des données professionnelles (sur les serveurs comme sur les postes de travail) est la protection la plus efficace contre les logiciels malveillants de type « ransomware ». L’entreprise pourra, en effet, poursuivre son activité en récupérant les données stockées et mises à jour régulièrement. Il faudra alors que ces sauvegardes soient stockées à l’extérieur de l’entreprise pour ne pas être cryptées en cas d’attaque au même titre que les documents utilisateurs.

Ce qui caractérise la cybercriminalité c’est son évolution permanente. En effet, les hackers débordent d’imagination pour trouver de nouvelles techniques d’attaque. Les failles de sécurité étant généralement corrigées dans les mises à jour des outils (pare-feu et antivirus), il est indispensable de maintenir toutes les installations informatiques (applicatifs, systèmes d’exploitation, etc.) même si cette opération peut parfois paraître chronophage.

5. Attention aux applications Cloud personnelles

C’est un comportement de plus en plus fréquent contre lequel les entreprises doivent lutter. Le recours par les salariés aux solutions de stockage librement accessibles sur le Web pose un vrai problème de sécurité. (Exemple : WeTransfer est non conforme RGPD, les fichiers déposés ne sont pas chiffrés nativement).  Les entreprises n’ont aucun moyen de contrôle quant aux fichiers que le salarié y dépose, aucun moyen de savoir s’il ne place pas ces informations en accès public. Bien souvent ces plateformes sont hébergées aux États-Unis, ce qui pose potentiellement un risque juridique s’il s’agit de données nominatives. Il faut donc accorder une attention particulière quant à la sécurité des applications.

Les collaborateurs ont de plus en plus tendance à héberger leurs données professionnelles dans le Cloud public. Les informations de l’entreprise circulent alors sur des serveurs dont on ignore le lieu d’hébergement. L’entreprise n’a donc aucune garantie sur le respect de la confidentialité de ses données. Les collaborateurs, qui bien souvent utilisent ces hébergements à des fins personnelles, doivent être sensibilisés sur les risques encourus par l’entreprise via la charte informatique.

EMS INFORMATIQUE propose une solution de partage de fichiers, hébergée en EUROPE, il s’agit d’un système sur lequel un administrateur peut garder la main pour supprimer au besoin les données qui ont été partagées par un collaborateur.

6. Soyez prêt face aux attaques informatiques

Ne vous posez plus la question si vous allez être attaqué, mais plutôt quand ce sera le cas. Les grands réseaux de botnets parcourent inlassablement Internet pour trouver des serveurs mal sécurisés et y installer leur code malveillant à l’insu de leurs propriétaires. Pour les repousser, il faut disposer sur les accès internet des dispositifs anti-intrusion, capables de filtrer les malwares, mais aussi déjouer les attaques les plus sophistiquées type 0-day ou APT.

Un système informatique n’est jamais sécurisé ad vitam aeternam. De nouvelles techniques d’attaque informatique apparaissent régulièrement et de nouvelles failles dans les logiciels et les équipements sont découvertes tous les jours. Une seule parade : toujours tenir ses installations et l’ensemble de son parc applicatif à jour.

7. Homogénéiser et maintenir à jour le parc informatique

L’informatique en entreprise couvre un vaste périmètre de compétences :

  • Environnemental : accès physique, électricité, refroidissement
  • Réseau : switchs, routeurs
  • Impressions : copieurs multifonctions / FAX
  • Matériel : serveurs, disques durs / stockage des données
  • Virtualisation : le nombre de serveurs nécessaire pour une PME étant croissant, une couche de virtualisation est souvent implémentée
  • Système d’exploitation, Bios
  • Authentification : LDAP / Active Directory
  • Bases de données, Applications

Impossible de sécuriser un parc informatique lorsque chaque PC à un OS différent, des logiciels de sécurité différents. Pour cela il est primordial de réaliser un inventaire de votre parc informatique. Pour ensuite le sécuriser, une première démarche est d’uniformiser les OS, les paramètres de sécurité informatique ainsi que les logiciels de protections installés sur chacun d’eux. Pare-feu local, anti-virus pour entreprise sont indispensables sur tous les postes. Les solutions antivirales gratuites sont à bannir dans l’entreprise.

Externaliser vos serveurs et/ou leur gestion permet de confier à une entreprise dont l’informatique est le métier la gestion des couches complexes qui n’ont pas de valeur ajoutée pour votre entreprise sans investir dans différents profils techniques pour garantir la sécurité et la disponibilité de votre système d’information. EMS INFORMATIQUE peut vous fournir ce service.

8. Gérer la sécurité de votre flotte de mobiles

Ordinateurs portables et smartphones sont fréquemment perdus ou volés lors de déplacements. La tendance au nomadisme ne va faire qu’amplifier cet état de fait. Ces terminaux perdus sont la cause d’importantes fuites de données informatiques d’entreprise. Les smartphones font depuis quelques années l’objet de cyberattaques en tout genre et sont de plus en plus utilisés pour pénétrer les systèmes de sécurités des entreprises.

Il faut être absolument capable d’activer/désactiver très rapidement les accès sur les terminaux perdus, de chiffrer leur contenu mais aussi être capable d’effacer à distance toutes les informations sensibles dès la perte signalée.

9. Responsabilisez votre personnel avec une formation à la sécurité informatique

L’élément humain reste un maillon faible de la sécurité informatique d’une entreprise. Les pirates informatiques ont recours à l’ingénierie sociale car elle est bien souvent plus simple à mettre en œuvre qu’une cyberattaque sur un système d’information protégé. Les plus grandes entreprises ont eu à faire face aux « arnaques au président », un simple coup de fil à un assistant où le présumé chef d’entreprise lui ordonne d’effectuer un virement à l’étranger. Mots de passe simplistes et utilisés pour tous les comptes et adresses e-mail, ouverture de pièces jointes provenant d’expéditeurs inconnus, diffusion sur les réseaux sociaux d’informations confidentielles sur l’entreprise ou infection du SI par un virus introduit par un appareil personnel utilisé dans le cadre de la vie professionnelle, l’origine de la cybercriminalité est diverse et souvent véhiculée par les collaborateurs eux-mêmes.

La première contre-mesure, c’est de responsabiliser le personnel. Il faut indiquer aux personnels quels sont les bons comportements à tenir face aux menaces de ce type, face à une clef USB que l’on trouve dans la rue, etc. Des règles de comportement simples permettent de déjouer bien des attaques.

Il est donc primordial de les sensibiliser à toutes ces formes d’intrusions de virus et autres malveillances et de les informer sur les démarches à suivre en cas de perte ou de vol de matériel type smartphone, tablette et ordinateur portable. L’entreprise doit responsabiliser ses collaborateurs en les informant sur les conséquences encourues par l’entreprise en cas de vulnérabilité de son SI. La sécurité IT de l’entreprise est l’affaire de tous ses collaborateurs. Les procédures RGPD doivent permettre de maintenir un niveau de vigilance fort.

Source : journal du net

Quelques liens pour aller plus loin


Guide d’hygiène informatique de l’ANSSI


Module d’autoformation à la sécurité du poste de travail de l’ANSSI

Sécurité du SI : pourquoi les méthodes classiques ne marchent pas

Protection de l’information et cloud computing, guide du Cigref

Eduquer les acteurs de l’entreprise aux risques numériques, guide du Cigref

Cybersécurité des systèmes industriels : Par où commencer ? Synthèse des bonnes pratiques et panorama des référentiels, guide du Clusif