10.jpg

Exodata, le blog

Là où vont ceux qui veulent devenir plus performants

PME  : Il est temps de sécuriser votre S.I.  !

Posté par Bertrand Jaunet | 17 janv. 2019

Avant toute chose, la bonne question qu’il faut se poser n’est pas si vous allez être attaqués mais plutôt quand…

La cybersécurité des PME est importante et pose problème car elle mobilise des moyens pas toujours adaptés pour protéger les systèmes d’information. Comme le risque zéro n’existe pas, il est important d’en être conscient et de mettre en œuvre des actions pour s’en prémunir.

Voici quelques conseils et moyens simples qui vous permettront de vous protéger contre le plus grand nombre et de mieux réagir en cas d’attaque.

Définir une politique de sécurité (une vraie !)

La sécurité informatique ne s'improvise pas et ne se bâtit pas en réaction à la suite d'une attaque ou en réaction à un fait d'actualité. Comme la stratégie pour son entreprise, il est important de se donner un cap et de prendre le temps d’élaborer un vrai plan d’actions. 
Il faut définir le périmètre à protéger, se fixer des objectifs, nommer des responsables en corrélation avec les budgets que vous estimez raisonnable pour la protection de vos données. Le périmètre, les priorités du périmètre et les interventions doivent être définis par écrit. Toutes ces étapes d’organisation sont importantes car il est essentiel d’avoir les bons réflexes et d’éviter toute maladresse malencontreuse dans un moment de panique.

Déterminez ce qui est critique pour votre entreprise

Les entreprises sont aussi différentes que les gens et ont toutes des choses différentes à protéger. Examinez de près ce qui compte vraiment pour votre entreprise et son adéquation avec vos objectifs globaux.

  • Définir quelles sont pour vous vos informations qui font la valeur de votre entreprise ? (on le nomme “patrimoine informationnel” : expl des données confidentielles client)
  • Savez-vous où se trouvent toutes vos informations (bases de données, serveur de fichiers, Cloud…) ? 
  • Propriété intellectuelle
  • Données financières
  • Informations du patient
  • Fonctions commerciales critiques, etc

Former vos employés

L'élément humain est souvent le maillon faible de la sécurité informatique d'une entreprise. Entraînez vos employés à utiliser des mots de passe forts et à éviter les liens et les pièces jointes dangereux. Il faut indiquer aux personnels quels sont les bons comportements à tenir face aux menaces de ce type, clef USB ou email frauduleux, etc. Des règles de comportement simples permettent de déjouer bien des attaques. Certains pirates informatiques ont recours à l'ingénierie sociale car elle est bien plus simple à mettre en œuvre qu'une cyberattaque sur un système d'information protégé. Des entreprises ont dû  faire face aux « arnaques au président »  : L’art du FOVI (Faux ordre de virement) consiste à abuser d'un employé ou d'un assistant comptable afin d'exiger un virement bancaire. Elle nécessite une phase préalable de connaissance de l’entreprise ciblée, de son personnel, et de ses dirigeants. La première contre-mesure, c'est de responsabiliser le personnel. 

Pour aller plus loin des sessions de sensibilisation des collaborateurs existent ainsi que des formations plus techniques (CISSP, CRISC, CISM, CISA, CEH V9, ITIL V3 FOUNDATION) https://www.opensphere.fr/fr/formations/

Surveillez vos réseaux WI-FI

Attention les routeurs ADSL ou 4G déployés par les salariés doivent être formellement interdit, ces accès Internet clandestins posent un sérieux problème de sécurité informatique, les bornes Wi-Fi déployées dans les locaux de l'entreprise doivent être placées sous très haute surveillance. 
S’ils sont mal sécurisés, ils sont de véritables invitations au piratage. Simple voisin de palier ou depuis un véhicule garé dans la rue les pirates ont de multiples outils à leur disposition pour décrypter les mots de passe Wi-Fi en quelques minutes. Contrôler ces accès est une des étapes importantes dans le processus d’amélioration de la sécurité de vos données et doit faire partie de la politique de sécurité informatique de l'entreprise. N’hésitez pas à faire auditer votre réseau et/ou réaliser des tests d’intrusion réguliers au prêt de spécialistes certifiés (CEH - Certified Ethical hacker, par exemple)

Effectuez des sauvegardes régulières et systématiques de vos données

Les données informatiques sont l’or noir de l’entreprise. Ces données peuvent être compromises suite à un vol, une panne informatique ou un incident survenu au sein des locaux (incendie, dégât des eaux). 

Pour éviter toute perte dommageable et la mise en danger de l’entreprise, il est nécessaire de réaliser des sauvegardes aussi souvent que possible sur des supports mobiles ou d’externaliser les sauvegardes auprès d’un service cloud. Evidemment les données les plus sensibles (données vitales à  la survie de la  PME) restent sous le contrôle du chef d’entreprise ou administrateur.

Inventaire de vos appareils

Identifiez et sécurisez tous les périphériques utilisés par vos employés, y compris les clés USB, les smartphones, les tablettes et les ordinateurs portables. Seulement 17% des PME prennent des mesures pour sécuriser les données de l'entreprise sur leurs appareils personnels.
Ces appareils sont fréquemment perdus ou volés lors de déplacements. Le développement du « Home office » favorise cet état de fait. Ces terminaux perdus ou volés sont la cause d'importantes fuites de données informatiques d'entreprise. Il est primordial d’être capable de les Geolocaliser, de les activer ou désactiver à distance et de pouvoir en effacer le contenu dès la perte signalée. Des solutions type MDM (Mobile device management) existent et vous permet de gérer la sécurité de vos outils mobiles en société.

https://www.pcmag.com/article/342695/the-best-mobile-device-management-mdm-software

Autre point, pour les appareils et documents en fin de vie il est important de procéder à une restauration complète des équipements avant de les éliminer.

Ça vous intéresse, mais vous préférez vous concentrer sur votre métier  ? 

 

Le SOC (Security opération center) peut être la solution à vos besoins : 

Vous bénéficiez d’une surveillance en temps réel de la sécurité de vos actifs. Vous êtes informé en cas d’incidents et tout comportement malveillant est détecté en amont. Une équipe de spécialistes est à votre disposition pour surveiller et prendre soin de votre sécurité : vous gagner du temps en vous concentrant sur votre cœur de métier. Si vous le souhaitez, vous pouvez être accompagné pour la mise en place de la gouvernance « sécurité » ou dans la définition de l’architecture de sécurité.

Avantages pour votre entreprise :

  • Un équipe d’experts à votre service
  • Une simplification de la gestion du périmètre à sécuriser
  • Pas de gestion des mises à jour et des évolutions de produits
  • Une meilleure réactivité et rapidité de service
  • Une optimisation des coûts
Annexe : Pour aller plus loin

Autoformation à la sécurité du poste de travail de l'ANSSI
Sécurité du SI : pourquoi les méthodes classiques ne marchent pas
Protection de l'information et cloud computing, guide du Cigref
Eduquer les acteurs de l'entreprise aux risques numériques, guide du Cigref , 
Guide des bonnes pratiques informatique de l'ANSSI

 

Topics: cloud privé, cloud public, sécurité, hosting, ISO27001, cybersécurité

Posté par Bertrand Jaunet

Convaincu que la sécurité est une étape incontournable dans l’amélioration de la performance et de la compétitivité des entreprises, Bertrand en a fait un de ses domaines d’expertise. Ses compétences et son expérience acquise chez APPLE ou encore Dell/EMC, lui permettent aujourd’hui de partager sa vision et d’accompagner nos clients sur les enjeux de demain.

Laissez-nous un commentaire