De nombreuses entreprises sont perdues face à la multitude d’actions qui devraient être mises en place pour se protéger. Alors qu’en réalité, les risques peuvent être considérablement réduits en mettant en œuvre des actions simples. Des actions ponctuelles réalisées en l’absence d’une démarche systématique n’auront pas d’efficacité sur le long terme. Sécuriser son système d’information sous-entend une démarche structurée ainsi qu’une approche systématique de moyen terme.

 

L’un des défis de la mise en œuvre d’un plan de sécurité est véritablement d’orchestrer de manière globale la mise en œuvre d’une multitude d’actions sur l’ensemble du parc informatique de l’entreprise.  Dans le but de favoriser une mise en œuvre cohérente et ordonnée, il est important d’identifier les grands domaines sur lesquels agir.

Ces leviers peuvent être regroupés au sein des domaines suivants :

• Les réseaux et les accès internet
• Le poste de travail
• La messagerie
• Les droits utilisateurs et les mots de passe
• La sensibilisation des utilisateurs
• Les sauvegardes
• Le plan de reprise en cas d’attaque

Partie 1 : Les 7 leviers pour sécuriser votre système d’information

1 – Sécuriser les réseaux et les accès internet

Maîtriser les accès internet avec une passerelle sécurisée

Une passerelle Internet sécurisée permettra de filtrer ou de bloquer les contenus dangereux pourront être filtrés ou bloqués, et ainsi empêcher des fuites de données (Filtrage des URL, détection et blocage des logiciels malveillants, contrôle des demandes…)

Sécuriser les accès WIFI

Plusieurs mesures sont à prendre :

• Mettre en place un système d’authentification (mot de passe, ou confirmation par un administrateur)
• Cacher le SSID aux utilisateurs externes
• Bien choisir l’emplacement du point d’accès wifi (au cœur de l’entreprise, et non près des fenêtres)
• Limiter la portée du point d’accès wifi (restreindre l’accès aux seuls murs de l’entreprise)

Cloisonner le système d’information pour limiter le risque de propagation

Pour limiter le risque de propagation, il convient de mettre en place un ou plusieurs dispositifs de filtrage permettant un cloisonnement entre les différentes zones réseaux plus ou moins critiques du système d’information.

2 – Sécuriser les postes de travail

Activer un pare-feu local

Le pare-feu doit permet de ralentir ou limiter l’action d’un acteur malveillant ayant réussi à prendre le contrôle d’un des postes de travail.

Utiliser et mettre à jour les logiciels antivirus

Les antivirus sont à installer sur les postes. Ils doivent être mis à jour régulièrement pour assurer une protection efficace. Il est important de veiller à la mise à jour des signatures et du moteur du logiciel et de lancer l’analyse régulièrement sur les espaces de stockage des fichiers de l’entité.

Il faut appliquer les correctifs de sécurité des programmes utilisés, dès qu’ils sont disponibles. Un process de mise à jour des logiciels doit être mis en place pour s’assurer que les mises à jour sont faites régulièrement.

3 – Sécuriser les messageries

Il est possible d’équiper le serveur de messagerie mail de l’entreprise d’un logiciel de protection avancé, un anti-spam pour lutter contre le phishing, un anti-virus, un anti-malware.

4 – Gérer les droits utilisateurs et les mots de passe

Favoriser une politique d’usage de mots de passe

Il est important de mettre en place une politique de mots de passe complexes et de veiller à son application.  Cette politique de mot de passe pourra également impliquer un changement fréquent et inciter à utiliser des mots de passe distincts.

Mettre en place une authentification à double facteur

Les solutions d’authentification permettent de confirmer les connexions en envoyant un code sur un deuxième appareil, de sorte que connaître le mot de passe ne suffit pas pour se connecter.

Limiter les droits des utilisateurs et les autorisations des applications

La première règle d’or est que les utilisateurs ne soient pas administrateurs de leur poste de travail. Ceci rend impossible l’installation de logiciels et l’exécution involontaire de codes malveillants.

Une autre bonne pratique consiste à dédier et à limiter les comptes d’administration sur les ressources du système d’information et à mettre en place des postes de travail dédiés à l’administration, sans accès à Internet.

5 – Sensibiliser les collaborateurs à la cybersécurité

Les meilleures politiques de sécurité ne sont rien, si les utilisateurs n’ont pas les bons réflexes pour choisir des mots de passe complexes, bien utiliser leur messagerie, reconnaître les spams et les mails de phishing. La sensibilisation pourra se faire via des ateliers, des formations, et des actions visant à faire de la sécurité une véritable compétence professionnelle.

6 – Sauvegarder les données et les mettre en lieu sûr

En cas d’incident grave, la sauvegarde permettra à l’entreprise de poursuivre son activité.

Mettre en place une sauvegarde des données réclame une réflexion méthodique :

• Identifier les données à sauvegarder et en particulier les données dites critiques.
• Déterminer le rythme des sauvegardes, en fonction des pertes maximales acceptables
• Choisir le ou les supports et les emplacements adaptés pour sécuriser la sauvegarde
• Faire des tests de restauration des supports de sauvegarde pour vérifier leur fonctionnement

7 – Préparer un plan de reprise en cas d’incident de sécurité

Ce plan aura plusieurs objectifs :

• Réagir rapidement pour limiter la propagation de l’attaque
• Identifier rapidement la ou les vulnérabilités et les corriger
• Rétablir les activités business au plus vite, grâce à un plan de continuité ou de reprise
• Minimiser les pertes financières et de réputation

Partie 2 – Parvenir à sécuriser l’entreprise dans la durée

Tous ces leviers permettent de réduire les risques et permettront à une entreprise de pouvoir poursuivre en cas d’incident de sécurité. Pour autant, la mise en œuvre de ces leviers représente un défi. Car la sécurité est un sujet qui doit être géré dans la durée.

Tenir à jour l’inventaire des équipements et les cartographies des systèmes

L’arrivée de nouveaux collaborateurs, l’ouverture de nouveaux sites, la mise en place de nouvelles applications …. Le système d’informations évolue au quotidien. Sans une cartographie mise à jour, il n’est pas possible de vérifier que la sécurité du système d’information reste efficace. Ce bilan doit être mis à jour régulièrement, au moins deux fois par an.

Accompagner les utilisateurs dans la durée   

Trop d’entreprises se contentent d’actions ponctuelles pour sensibiliser les utilisateurs aux bonnes pratiques de sécurité. Pour réellement créer des réflexes, il faut répéter, répéter, répéter. Il est donc essentiel de concevoir un plan de moyen terme pour développer ces compétences. Certaines entreprises conçoivent des formations mensuelles online, auxquelles les salariés doivent participer et valider un examen de passage.

Evaluer régulièrement le niveau de sécurité d’une entreprise

Les meilleures politiques de sécurité réclament d’être réévaluées régulièrement. Tout simplement pour s’assurer que la pratique est conforme à la politique et pour identifier de nouveaux risques ou de nouvelles vulnérabilités. Une évaluation de sécurité biannuelle est essentielle pour s’assurer que les moyens de sécurité restent adaptés aux menaces de l’entreprise.

Créer un poste de RSSI et ancrer la sécurité au niveau de la direction générale

Définir la politique de sécurité dans l’entreprise, vérifier la mise en place des mesures de protection, animer le déploiement, réévaluer la sécurité…. Sont des tâches permanentes qui peuvent représenter une charge de travail importante. De plus, le succès de la mise en œuvre d’une politique suppose une implication de l’ensemble des collaborateurs de l’entreprise. Les entreprises peuvent ainsi envisager la création d’un poste de RSSI pour porter cette responsabilité. Et en tout état de cause, cette démarche réclamera un engagement fort de la Direction Générale pour réellement impliquer l’ensemble des collaborateurs.

 

Un prestataire spécialisé en sécurité pourra accompagner de manière globale une PME dans la mise en œuvre de son plan de sécurisation, tant sur le volets préventif – réseaux, poste de travail, mots de passe, messageries –  que sur le volet réactif – Sauvegarde et Plan de reprise d’activité.

 

Source : Guide ANSSI

LA CYBERSÉCURITÉ POUR LES TPE/PME EN 12 QUESTIONS