La sécurité des systèmes d’information est une problématique majeure. Aujourd’hui, on ne se demande plus si on va être attaqué, mais plutôt quand va avoir lieu cette attaque informatique. Pour les PME, la principale difficulté réside dans le peu de moyens disponibles pour protéger ses données. Toutefois, avec un peu de méthode, il est possible de se protéger. Quelles sont les risques pour les PME ? Quels sont les 4 piliers de la sécurité informatique ? Quelles sont les bonnes pratiques de cybersécurité ? On vous livre les clés !
C’est quoi la sécurité informatique ?
Pour les entreprises, la sécurité informatique est un terme qui rassemble l’ensemble des ressources et moyens -techniques, matériels, juridiques, organisationnels et humains- mis en place afin de protéger les systèmes informatiques, les réseaux et plus largement les données contre les diverses menaces potentielles.
Ce terme générique comprend ainsi la stratégie de sécurité informatique, les méthodes et différentes solutions, ainsi que les outils utilisés pour protéger la confidentialité et l’intégrité des données. La sécurité informatique assure aussi la disponibilité en continu de ces données.
L’objectif ? Prévenir en anticipant, détecter en surveillant et neutraliser en agissant.
Le but ? Défendre en profondeur le système pour que l’entreprise ne perde pas en productivité et préserve son image de marque.
Quels sont les risques pour la sécurité des données ?
Ainsi, aujourd’hui, sans stratégie de sécurité numérique, les risques pour la sécurité des données sont donc nombreux. Phishing (ou tentative d’hameçonnage), menace interne, attaques DDos (déni de service), malwares et rançongiciels (logiciels malveillants), etc… les procédés sont multiples et les conséquences délétères pour les PME.
Récupération de données relatives aux identités numériques, dispersion d’informations à haut niveau de confidentialité, attaque de son site web, altération de la réputation et de l’image de l’entreprise, vol de propriété intellectuelle, mise à mal de la capacité de production et, bien entendu, pertes financières, sont autant de risques encourus. Assurer sa sécurité informatique est essentiel.
Comment assurer la sécurité informatique de son entreprise ?
Ainsi, comment assurer la sécurité informatique de sa PME à moindres coût ? Outre l’accompagnement proposé par votre opérateur, voici 10 conseils à mettre en place en interne !
1. Rédigez une stratégie ou plan de sécurité informatique
Mettre en place une véritable politique de sécurité informatique est le préalable pour améliorer sa cybersécurité. Le but ? Évaluer les risques et menaces, noter les vulnérabilités et failles de sécurité, tester le niveau de sécurité global, puis déterminer un responsable de la sécurité à même de prévenir l’erreur humaine et les éventuelles cybermenaces. Pour rédiger la stratégie de sécurité informatique : couchez sur le papier les périmètres de votre Système d’Information (SI) et des données à protéger au sein de l’entreprise ; établissez les responsabilités de chacun et nommez un responsable de la sécurité ; listez les procédures à mettre en place pour réagir face à une menace informatique afin de ne pas réagir dans la précipitation.
2. Contrôlez les accès internet de l’entreprise
Chaque point d’accès Internet de l’entreprise, constitue une brèche de sécurité dans laquelle un pirate peut s’engouffrer pour accéder au système d’information. Depuis très longtemps, la méthode pour assurer la fiabilité de ses accès Internet est l’approche de réseau privé virtuel (VPN) avec un unique point d’échange sécurisé avec internet pour l’ensemble de l’entreprise. Mais aujourd’hui, avec les nouvelles formes de travail (télétravail, travail hybride…), la question est d’autant plus sensible. En matière de sécurité du réseau, nous sommes passés des règles de sécurité implicites et plus statiques à une forme actuelle de « zéro trust » (traduction : « aucune confiance »). La confiance implicite a laissé place au temps de la vérification permanente. En somme,
rien sur le réseau informatique n’est fiable a priori, et tout doit être soumis à authentification forte et autorisation d’accès.
Pour cela, les opérateurs proposent différentes solutions de protection.
3. Contrôlez les accès wifi
Les bornes wifi déployées dans les locaux de l’entreprise doivent être placées sous haute surveillance. Des pirates installés dans le voisinage ou même dans un véhicule garé dans la rue ont de multiples outils à leur disposition pour décrypter les mots de passe wifi en quelques minutes. Contrôler ces accès doit faire partie de la politique de sécurité informatique de l’entreprise.
4. Homogénéisez vos logiciels et paramètres de sécurité
L’une des priorités pour sécuriser un parc informatique consiste à uniformiser les systèmes d’exploitation, les paramètres de sécurité et les logiciels de protection installés sur chacun d’eux. En effet, on constate bien souvent que les outils ou versions logicielles divergent d’un ordinateur à un autre. Il est important d’homogénéiser l’ensemble et de veiller au même niveau de mise à jour sur tous les appareils, notamment concernant le pare-feu local (firewall) et l’antivirus qui sont indispensables. Le responsable de la sécurité informatique doit veiller à ces points. En plus de ces protections, l’installation de systèmes de détection d’intrusion (IDS) permet de détecter les éventuelles activités anormales sur les machines du réseau.
5. Filtrez les sites internet
Durant leur journée de travail, les salariés ont accès à toutes les ressources qu’offrent le web, y compris les réseaux sociaux, plateformes de vidéos, etc. S’il n’est pas question de mettre en place une surveillance des pages consultées, il est toutefois possible de contrôler l’accès à des sites potentiellement dangereux voire de bannir leur accès en mettant en place un filtre internet (exemples : site de piratage d’applications, échanges de liens de téléchargement, sites pornographiques…).
6. Faites attention aux applications cloud personnelles
Depuis quelques années déjà, l’usage du cloud s’est démocratisé, dans le monde professionnel mais également dans les usages privés des collaborateurs. Ces solutions librement accessibles via Internet posent un problème de sécurité car les entreprises n’ont aucun contrôle sur les fichiers que le salarié fait transiter sur ces espaces. Ainsi, ces cloud constituent des portes d’entrée pour les cybercriminels. Il est important de créer des points de filtrage par des pares-feux (ou firewall).
7. Formez vos collaborateurs aux règles de sécurité
Une des premières pierres (souvent sous-estimée) permettant de se doter d’une bonne sécurité informatique est assurément d’avoir des équipes à minima sensibilisées, au mieux formées aux questions de cybersécurité. En effet, la sécurité informatique, c’est avant tout l’affaire de chacun ! Responsabilisez vos équipes en leur indiquant les bons comportements à tenir face aux menaces. Pour ce faire, vous pouvez éditer un guide de bonnes pratiques à utiliser et d’usages à proscrire, voire organiser des formations en interne ou des échanges à ce sujet. Des règles de comportement simples permettent de déjouer bien des attaques !
8. Sécurisez la flotte de mobiles
Les équipements mobiles (téléphones, ordinateurs ou tablettes) perdus ou volés sont la cause d’importantes pertes de données informatiques d’entreprise. Et cette problématique a pris une nouvelle dimension avec l’hybridité des formes de travail. Il est essentiel de sécuriser votre flotte de mobiles d’entreprises ou ceux de vos collaborateurs utilisés dans le cadre de leurs fonctions. Cette sécurisation s’opère grâce à des solutions informatiques de gestion de flottes d’entreprise dites MDM (Mobile Device Management) ou EMM (Enterprise Mobility Management). Elles permettent notamment d’activer/désactiver rapidement les accès sur ces équipements, chiffrer leur contenu ou en effacer le contenu à distance.
9. Soyez toujours à jour !
La notion de sécurité informatique est par nature évolutive. Les menaces changent, les protections aussi ! C’est pourquoi nos outils informatiques nous proposent de façon récurrente des mises à jour. Contre cette inconstance de la menace, une seule parade : toujours tenir ses installations et l’ensemble de son parc applicatif à jour. Le recours à une solution de sécurité managée peut être un moyen de simplifier cette problématique. Plus largement, il convient d’adopter une bonne hygiène numérique. À ce sujet, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) propose un guide très complet disponible en ligne.
10. Verrouillez l’accès aux données aux seules personnes autorisées
Enfin, il est important que seules les personnes autorisées à lire certaines données puissent y avoir effectivement accès, et non par des fraudeurs ou pirates informatiques. Pour garantir ce point stratégique, il existe des solutions d’authentification multi-facteurs (qui a accès à quoi) qui permettent de réduire le risque d’attaque interne. À noter qu’il faudra s’assurer aussi d’effacer les accès des anciens salariés, d’où l’importance d’un responsable de la sécurité informatique qui répertorie ces accès.
Quels sont les principes de la sécurité informatique ?
Dix conseils pragmatiques qui viennent ainsi assurer le respect des principes de la sécurité informatique. Des grandes ambitions sur lesquelles repose la sécurité informatique des entreprises. On a en effet coutume de dire que la sécurité informatique possède cinq principaux objectifs :
– L’intégrité (les données doivent bien être celles que l’on pense)
– La disponibilité (le système d’information doit être disponible et fonctionner)
– La confidentialité (l’information doit uniquement être disponible pour les personnes concernées)
– La non répudiation (une transaction ne peut être niée)
– L’authentification (faire que seules les personnes accréditées puissent avoir accès aux informations).
Quels sont les 4 piliers pour sécuriser l’information de l’entreprise ?
De ces objectifs découlent 4 grands piliers fondateurs qui permettent, face aux multiples risques et quelle que soit la nature de l’entreprise, de mettre en place une stratégie efficace de sécurité informatique. Ces piliers sont à même de limiter les vulnérabilités et de garantir un bon niveau de sécurité numérique :
– La sécurité du SI (Système d’Information) qui doit être surveillé en permanence. Le niveau de sécurité mis en place doit avoir de bonnes capacités de détection en continu des cyberattaques.
– La sécurité du réseau car Internet constitue la porte d’entrée des menaces informatiques. Le réseau doit être à la fois sûr et performant.
– La sécurité des utilisateurs car les accès au système d’information doivent se faire en fonction des droits des utilisateurs. L’importance de ce pilier est actuellement renforcée par la mobilité des collaborateurs (télétravail, hybridité…).
– La sécurité proactive avec la mise en place de solutions qui analysent les applications en cours d’exécution sur les téléphones, tablettes ou ordinateurs portables de l’entreprise et des collaborateurs (byod – bring your own device) afin de détecter les processus anormaux.
Découvrez notre guide pratique
Vous souhaitez en savoir plus sur les différents types de cyberattaques et comprendre comment vous en prémunir en entreprise, téléchargez notre guide « Cyberattaques : le guide complet pour se prémunir en entreprise »
Bon à savoir : l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)
Il existe en France une instance publique référente en matière de sécurité informatique : l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information. Elle diffuse de nombreuses ressources à destination des entreprises : l’actualité des alertes en matière de cyberattaque, présentation des mesures nationales de cyber-prévention, modules de formation gratuits pour les salariés, etc.