être rappelé

PME : pourquoi réaliser un audit de sécurité régulièrement ?

Dans le cadre d’une stratégie de cybersécurité, réaliser un audit informatique est une démarche indispensable pour toutes les entreprises, même les PME.

Souvent plus vulnérables que les grands comptes, les petites et moyennes entreprises sont de plus en plus visées par les cyberattaques. Et pour cause, une études nous apprend qu’en 2017, 79 % des victimes d’une faille de sécurité étaient des PME.

Qu’est ce qu’un audit de sécurité informatique ? Quand le pratiquer et pourquoi le mettre en place ?

En quoi consiste un audit de sécurité informatique ?

L’audit de sécurité informatique est un processus mis en place pour identifier les principales failles du système d’information d’une entreprise, et d’en définir le niveau de sécurité actuel. Cette analyse permet d’orienter la stratégie de cybersécurité en fonction des besoins de l’infrastructure existante et des cybermenaces récurrentes.

Il s’attache à vérifier les risques liés aux courriels, aux stations de travail, aux piratages, aux falsifications d’informations et aux erreurs de manipulation.

 

Quand faut-il effectuer un audit de sécurité ?

Un audit de sécurité est une démarche préventive. De fait, il ne faut pas attendre qu’un incident survienne pour le mettre en place. La clé d’un système d’information performant et protégé de toutes menaces est l’anticipation. Il convient également d’y avoir recours à interval régulier afin de faire face à l’évolution des attaques, mais également d’adapter son infrastructure informatique en fonction des mises à jour nécessaires.

Pourquoi pratiquer un audit de sécurité régulièrement ?

Un système informatique performant est indispensable pour contribuer au bon fonctionnement d’une PME. Or, un équipement obsolète et inadapté aux évolutions successives de la configuration des serveurs nuit aux performances du réseau et compromet la productivité de l’entreprise. C’est pourquoi il est primordial de vérifier périodiquement l’adéquation du système avec les besoins du moment.

Un audit informatique régulier permet de vérifier la productivité des équipements du parc informatique, des systèmes d’exploitation et des logiciels, afin d’apprécier l’adéquation de chaque poste avec les besoins actuels de l’utilisateur. 

En adoptant régulièrement des actions correctrices, l’entreprise évite de perdre en rapidité et efficacité et élimine les risques d’attaques imprévues, pouvant engendrer des conséquences désastreuses (ralentissement de l’activité, pertes financières…).

Comment réaliser un audit de sécurité en 5 étapes :

1 – Effectuer un pré-audit 

Définir les objectifs et les besoins en sécurité de l’entreprise, et identifier les mesures déjà mises en place.

2 – Vérifier la conformité du SI

Inspecter le système d’information de l’entreprise afin de s’assurer qu’il répond aux normes de sécurité demandées par la législation.

3 – Analyser l’infrastructure existante

L’audit d’infrastructure vise à répertorier l’ensemble des équipements informatiques et les différents points d’entrées que pourraient utiliser les hackers pour s’introduire dans le SI. Il convient de vérifier la gestion des sauvegardes, le pare-feu, les anti-virus et anti-malwares mis en place sur les postes de travail, mais également le point d’accès Wifi, la sécurité de la messagerie et de de l’anti-spam.

4 – Faire un test d’intrusion

Après avoir repéré tous les points d’entrées potentiels du système d’information, il faut lancer une phase de test d’intrusion. Elle est la phase la plus importante et ne doit omettre aucun des points d’entrées potentiels, qui se multiplient avec les évolutions technologiques. Maintenant, les pirates peuvent pénétrer un système d’information à partir de postes de travail nomades, comme les ordinateurs portables, les tablettes ou les smartphones.

5 – Mettre en place une stratégie de sécurité

Rédiger un rapport de sécurité détaillé qui permettra à l’entreprise d’effectuer des actions correctrices visant à renforcer la sécurité informatique.

Enfin, l’audit ne concerne pas seulement les équipements informatiques ; il touche aussi et surtout chaque utilisateur. C’est la raison pour laquelle une formation sur les règles d’usage sécuritaires doit être dispensée afin de mieux contrôler les pratiques de chaque collaborateur. 

Faire appel à une équipe de spécialistes en cybersécurité pour réaliser un audit informatique permet aux entreprises de bénéficier d’une expertise et d’un conseil de qualité. L’audit de sécurité est une démarche essentielle afin d’identifier précisément les failles de son SI et d’y remédier efficacement, en mettant en place une stratégie de cybersécurité fiable, et adaptée aux besoins de l’entreprise. 

 

Plan de reprise d’activité : comment le mettre en place

En cas de panne  des systèmes informatiques ou telecoms, c’est bien souvent la totalité de l’entreprise qui est l’arrêt. Et les impacts économiques  sont immédiats :  Arrêt des commandes, Production stoppée, perte de productivité. Les dirigeants sont dès lors confrontés à 2 impératifs. Tout d’abord, réduire les probabilités de panne, notamment via la mise en place d’une maintenance préventive des systèmes. Ensuite, maitriser les délais nécessaires au retour à la normal. C’est précisément à cet impératif  de maitrise que répond un plan de reprise d’activité.  En quoi consiste exactement un tel plan ? Quelle méthodologie faut il adopter pour le mettre en place ?  Nos explications et recommandations.

Le plan de reprise d’activité peut s’avérer vital pour l’entreprise

Les systèmes informatiques et télécoms sont aujourd’hui totalement imbriqués dans les modes de fonctionnement des entreprises. Helas, ces systemes sont devenus complexes et les causes de pannes se sont multipliées. La question n’est plus de savoir si il y aura une panne, mais bien de savoir quoi faire quand elle se produira et dans quel délai l’entreprise pourra reprendre normalement son activité.

Une étude Evolve montre à quel point les risques de pannes sérieuses sont fréquents et à quel point les pannes prolongées peuvent avoir des conséquences sur la survie de l’entreprise.  30% des entreprises ont fait face à un incident réclamant le recours à un PRA. Pour celles n’ayant pu rétablir leur service dans les 10 jours suivants l’incident, les conséquences ont même été fatales : 93% des entreprises ayant perdu leur donné plus de 10 jours, ont fait faillite dans l’année suivant le sinistre.

Le plan de reprise d’activité : qu’est-ce que c’est ?

Le Plan de Reprise d’Activité peut se définir comme l’ensemble des mesures définies en cas de sinistre, de panne ou d’incident entraînant l’indisponibilité du système d’informations pendant une période prolongée. ll s’agit donc des différents processus ayant pour vocation d’assurer la reprise d’activité la plus rapide possible après une interruption. Il se présente sous la forme d’un document écrit qui détaille, étape par étape, les actions à mettre en œuvre en fonction du type d’incident.

Sans plan de reprise et en l’absence de back-up, les impacts sur les entreprises sont multiples : 

  • Opérationnels : l’activité des collaborateurs est ralentie voire suspendue, entraînant une baisse de la productivité. 
  • Commerciaux : les clients reportent leur commandes, voire se tournent vers d’autres fournisseurs. 
  • Financiers : perte de revenus, coûts de reprise d’activité 
  • Juridiques : sanctions disciplinaires, financières ou pénales pour non-respect d’obligations réglementaires
  • D’image :  conséquences négatives sur l’image et la réputation de l’entreprise

Le plan de reprise d’activité : 7 étapes pour réussir sa mise en place

Pour que le PRA soit efficace il convient d’adopter une démarche logique en définissant en amont les besoins de l’entreprise. La finalité du PRA est de permettre à cette dernière de redémarrer son activité dans un délai maîtrisé. Voici un plan regroupant les 7 étapes clés pour y parvenir sereinement.

Etape 1 : Clarifier les besoins opérationnels liés à l’activité.

Quel est l’impact d’une demi-journée de travail perdue ? ce retard est il rattrapable ?  Quelle serait la réaction de vos clients s’ils ne pouvaient commander vos produits ? vont ils reporter leur commande ou carrément changer de fournisseur. Ces questions doivent être abordées au cas par car pour cerner les contraintes de votre activité. 

Etape 2 : faire une analyse des risques et des pannes possibles 

On distingue 3 grands types de risques  : 

  • Les risques matériels et logiciels : il s’agit des pannes de serveurs ou de dysfonctionnement matériel ou logiciel grave 
  • Les risques de cyber-attaques : parmi lesquelles on trouve les virus
  • Les risques externes :  incendies, inondations, ou catastrophes naturelles entraînant la panne du système d’information

Etape 3 : Définir la criticité des environnements applicatifs

Deux paramètres principaux sont fixés pour évaluer les besoins de sauvegarde, de réplication et de restauration, et ce pour chaque applicatif :

  • le RTO (Recovery Time Objective) : en combien de temps faut il être capable de restaurer la sauvegarde 
  • et le RPO (Recovery Point Objective). : il s’agit du point auquel il faut pouvoir remonter. 

Des objectifs différenciés pourront être fixés précisément en fonction de la criticité des applications et les besoins opérationnels de l’entreprise. 

Etape 4 : Définir les priorités et de le cout de reprise d’activité.

Les dispositifs de sauvegarde et de reprise ont des caractéristiques et des couts différents. Les dispositifs permettant un redémarrage rapide sont aussi les plus couteux.  Pour limiter le cout du PRA, il est fondamental de segmenter les différents systèmes et de définir pour chacun un niveau acceptable d’indisponibilité. Cette approche permettra de réserver les dispositifs les plus couteux aux applications et services vitaux à l’entreprise.

Etape 5 : Choisir l’équipement de sauvegarde et de reprise d’activité

La aussi une multitude d’options s’offrent aux entreprises, en terme de caractéristiques techniques et de couts. Une approche segmentée permettra également de choisir des  équipement de sauvegarde  hébergé sur site de secours, un datacenter ou via le Cloud, adaptés à chacun des composants de votre système. 

Etape 6 – mobiliser les équipes et définir les rôles de chacun.

En cas de panne, l’un des points fondamentaux est d’avoir un plan précisant le qui fait quoi, dans quel ordre et dans quel délai. Ces procédures permettent de prévoir comment organiser et mobiliser les équipes pour agir efficacement en cas de sinistre.

Etape 7 : tester régulièrement le plan de reprise et le faire évoluer

Un peu à l’image des simulations incendie, Il est recommandé d’exécuter le PRA au moins une fois par an. L’objectif est de simuler une situation extrême et de mettre en oeuvre le Plan prévu.   Autre point important : veiller à faire évoluer le PRA au fur et à mesure, car le système d’information ne reste pas figé, et de nouveaux applicatifs et éléments sont ajoutés en continu au cours de la vie de l’entreprise. 

Mettre en oeuvre un plan de reprise s’avère capital pour une entreprise, mais nécessite un savoir-faire. Il est important d’identifier les fonctions qui doivent être redémarrées en priorité pour limiter les risques liés au sinistre. La valeur ajoutée d’un spécialiste : c’est l’expérience acquise sur d’autres projets, et la connaissance des technologies. Se faire aider par un expert permet d’adopter une solution sur mesure et adaptée, mais également d’assurer un suivi en fonction de l’évolution des besoins et du système d’information.


Pour aller plus loin


Cyber sécurité : Pourquoi les PME sont des cibles de choix pour les hackers

Au cours des dernières années, les grandes entreprises ont déployé des moyens considérables pour assurer leur cybersécurité. La tâche des hackers devenant plus ardue, ils se tournent de plus en plus vers les petites et moyennes entreprises : moins préparées, elles sont des proies plus faciles pour les hackers. 

Les cyber-attaques visant les PME : un phénomène en constante progression

Les cyber attaques sont devenues au cours des dernières années un phénomène de masse. En 2015 déjà, plus de 8 entreprises sur 10 étaient visées par une cyber-attaque. Et on estime que le nombre de cyber-attaques double chaque année. Les PME ne sont pas épargnées puisqu’une étude nous apprend qu’au cours de l’année 2019, 66 % d’entre elles ont été victimes d’une faille de sécurité.

TPE, PME : les cyber-risques les plus fréquents

Le phishing

En tête du classement des risques les plus courants pour les PME, on retrouve les techniques dites de phishing : ce type d’attaque représente à lui seul 73 % des cyber attaques subies par les entreprises françaises en 2018. À ce titre l’e-mail, professionnel ou personnel, représente la porte d’entrée la plus simple pour les hackers qui peuvent s’infiltrer dans les systèmes d’information des entreprises. 

Le Ransomware

Si le phishing reste relativement visible pour l’utilisateur, le ransomware lui est en revanche une technique plus difficilement détectable : introduit à l’insu de l’utilisateur, un logiciel va subitement bloquer ou crypter des fichiers, et le hacker réclamera alors une rançon.

Le DDOS

Troisième menace la plus répandue  : Le DDOS. Ce type d’attaques, très facile à mettre en place, consiste à surcharger le serveur ou le réseau d’une société, jusqu’à le faire littéralement tomber. Ici aussi, une rançon sera demandée pour stopper les dégâts.

Dresser un panorama exhaustif des menaces relève de l’exploit car les cyber-attaques sont en évolutions permanentes, et les cyber-criminels trouvent chaque jour de nouveaux appareils et failles dans nos vies connectées : voiture, smartphone, objet connecté… 

La vulnérabilité des PME face aux cyber-menaces

Les grandes entreprises ont pris depuis bien longtemps la mesure de la cyber malveillance et consacrent des ressources considérables pour assurer leur cybersécurité. Ces ressources englobent à la fois les dépenses en logiciels et matériels, mais aussi les moyens humains consacrées à la prévention, la détection des menaces et la reprise des activités en cas d’attaques. On estime que 20 % du budget informatique des grands groupes est dédié à la cybersécurité. Les hackers ont au cours des dernières années trouvés de nouvelles proies : les PME. 

Si Les hackers restent attirés par les trésors numériques des grands entreprises, ils ont rapidement compris que ces dernières étaient sur leurs gardes. Ils se tournent alors désormais vers les PME. Si les gains y sont moindres, la probabilité de succès est beaucoup plus élevée. 

Plusieurs raisons expliquent que les PME sont plus vulnérables et exposées :

  • Tout d’abord,  la croyance répandue au sein des PME, que seules les grandes entreprises sont visées par les  cyber-attaques Les PME pensent, à tort, ne pas être attrayantes pour les hackers. 
  • Deuxième raison, l’absence de moyens financiers et humains, consacrés à la cyber-sécurité: Une PME consacre en priorité ses ressources à son coeur de métier – vente production service au client – et avoir un responsable sécurité  ou une politique de sécurité passe au second plan.
  • Enfin, les modes de fonctionnement des  PME sont moins formels ce qui implique davantage de risques : partage de mots de passe entre collaborateurs, absence de procédure restreignants l’accès de données sensibles. 

Les PME particulièrement fragilisées en cas d’attaque

Plus exposées et vulnérables face aux menaces, les PME sont aussi beaucoup plus démunies pour faire face aux conséquences.  Bien souvent les cyber-attaques sont l’occasion de constater l’absence de backup fiable, de plan de reprise ou de continuité d’activité. Les PME sont paralysées et subissent alors des pertes considérables : chute du chiffre d’affaires, crédibilité et réputation entachée, poursuites judiciaires… En définitive, les cyber-attaques s’avèrent souvent désastreuses pour ces petites structures. Les chiffres parlent d’eux-mêmes : on estime que 70 % des PME victimes d’un grave incident de sécurité déposent le bilan dans les trois ans. 

Pour passer à l’action, la 1ère étape est d’effectuer un audit de sécurité

Face à des dangers d’une telle ampleur, les PME se doivent de gérer activement leur cybersécurité et d’y consacrer des ressources. Pour un dirigeant de PME qui souhaite passer à l’action, la première étape consiste en priorité à effectuer un audit de sécurité par un prestataire spécialisé.  L’objectif est d’analyser le système et les données dans son intégralité afin d’identifier précisément les données sensibles, les points de fragilité du système d’information. A l’issue de l’audit, des recommandations sont formulées pour réduire les risques.  Il convient ensuite de réévaluer périodiquement le niveau de sécurité pour deux raisons : d’une part pour adapter les dispositifs aux nouvelles menaces, mais surtout pour inscrire la cybersécurité durablement dans les habitudes de travail. 


Pour aller plus loin