La sécurité informatique fait partie des préoccupations de tous les dirigeants d’entreprises, quelles que soient leurs tailles. La presse n’a cessé ces derniers mois de relater les conséquences parfois désastreuses de cyberattaques subies par de grands groupes. Les pertes financières dues aux vols de données se chiffrent en millions d’euros. La question désormais n’est plus de savoir si votre société subira une attaque, mais quand elle la subira ! Hors, si des grandes entreprises capables de consacrer de gros budgets pour sa politique de sécurité de l’information sont vulnérables, que peuvent faire les dirigeants de PME qui n’ont pas la possibilité d’y consacrer beaucoup de ressources ? Nous allons vous montrer ici qu’il est possible de mettre en place une réelle politique de sécurité dans une PME, et qu’à défaut de pouvoir sécuriser totalement son système informatique, il est possible de minimiser les risques.
Sensibiliser les utilisateurs aux risques informatiques
La première chose à faire est de s’assurer que tous les employés, quels que soient leurs niveaux hiérarchiques, aient bien conscience des risques qu’ils peuvent faire courir à l’entreprise en ne respectant pas les mesures de sécurité préconisées, même si à première vue elles peuvent sembler contraignantes. Si les périphériques USB sont interdits par exemple, c’est uniquement parce qu’ils permettent des échanges entre le milieu contrôlé de l’entreprise et le milieu personnel ou familial, qui est certainement moins sécurisé.
Une charte informatique pourra formaliser les règles relatives au bon usage d’Internet, de la messagerie ou de la téléphonie. Des fiches pratiques pourront être communiquées régulièrement.
Sécuriser les postes de travail
Seul un utilisateur accrédité doit pouvoir accéder à un poste de travail de l’entreprise et aux données qu’il contient. Si l’on pense immédiatement au mot de passe, il y a bien d’autres risques à prendre en compte.
Bien entendu, une politique rigoureuse de gestion des mots de passe est indispensable. Il doit être individuel (un même mot de passe ne doit servir à verrouiller qu’un seul et unique appareil), rester secret (évitez de le placer sur un post-it à côté de l’écran, mémorisez-le même si ça vous paraît difficile) et être difficile à deviner (n’utilisez aucune information relative à votre famille, vos enfants, vos animaux de compagnie…). Dans l’idéal, le mot de passe devra être composé d’au moins 8 caractères comprenant des lettres minuscules et majuscules, des chiffres et des caractères spéciaux. Il devra également être renouvelé tous les 3 mois maximum, et être différent des 3 derniers utilisés.
Les comptes utilisés pour s’identifier doivent être nominatifs et non génériques, de façon à pouvoir facilement les désactiver si les personnes quittent la société. De plus, un compte générique ne permettra pas d’identifier de façon certaine une personne ayant réalisé une opération sur le poste.
Pour évaluer gratuitement votre niveau conformité aux bonnes pratiques informatiques en termes de sécurité, téléchargez notre template d’audit afin d’avoir immédiatement votre scoring >> Je télécharge
Les postes de travail doivent être configurés pour se verrouiller automatiquement après une certaine durée d’inactivité (10 minutes maximum), et les utilisateurs doivent être incités à verrouiller leur poste dès lors qu’ils quittent leur bureau, même pour quelques minutes. Le parc informatique doit également être homogène et à jour, car les éditeurs fournissent régulièrement des mises à jour de sécurité.
L’accès physique aux locaux doit être contrôlé. Qu’il s’agisse d’une salle serveur ou d’un bureau de travail contenant un ou plusieurs ordinateurs, toute personne y circulant doit être identifiée et habilitée. La meilleure façon de sécuriser un poste de travail et de vérifier qui peut y avoir accès.
Sécuriser le réseau de l’entreprise
Les accès depuis l’extérieur de l’entreprise doivent être limités au strict minimum, et sécurisés. L’utilisation d’un réseau privé virtuel, ou VPN, permet de créer un « tunnel » sécurisé entre un poste extérieur et le réseau de l’entreprise. Les données qui circulent sur le réseau doivent être chiffrées en utilisant des protocoles sécurisés tels que IPSec, SSL ou HTTPS.
Il en va de même avec les appareils mobiles des employés, qu’il s’agisse de matériel professionnel ou personnel. Tout matériel non sécurisé (il existe des solutions de VPN pour les appareils mobiles également) doit être proscrit.
Le Wifi, s’il ne peut pas être évité, doit être sécurisé via un mot de passe robuste et les données doivent être chiffrées.
Anticiper la perte ou la divulgation de données confidentielles
Si malgré toutes les précautions prises, une cyberattaque venait à réussir et à endommager des données sensibles, il faudrait être en mesure de restaurer au plus vite les informations nécessaires au fonctionnement de l’entreprise.
Des sauvegardes doivent être effectuées automatiquement et régulièrement, soit sur plusieurs supports physiques (stockés séparément dans des locaux sécurisés), soit sur un hébergement spécialisé dans le Cloud. Une procédure de secours doit être mise au point, de façon à savoir comment réagir en cas de nécessité, et testée régulièrement, de façon à s’assurer que tout fonctionne et que le jour J, vous serez capable de restaurer vos données et minimiser les pertes.
Politique de sécurité : conclusion
Quelle que soit la taille de la société, il est possible de prendre des mesures de sécurité qui permettent de préserver les actifs. Des mesures simples mais néanmoins rarement suivies, peuvent être mises en œuvre afin d’éviter intrusions depuis l’extérieur et perte des données.
A lire aussi dans notre dossier sécurité: