Sécurisez les données informatiques de votre entreprise

Vector of Internet Security SystemsLa sécurité informatique n’est pas qu’une affaire d’informaticiens. La politique en la matière doit être décidée directement par le management, qui doit adopter de bonnes mesures de protection, s’assurer de tests réguliers de détection et établir un plan d’action au cas où. Voici l’essentiel à savoir en la matière pour un patron de PME.

Les affaires de piratage informatique ou d’espionnage font la une presque chaque semaine. Les révélations d’Edward Snowden, ex-consultant de la NSA, ont montré que la cible du programme Prism ne se limitait pas qu’aux détenteurs de grands secrets d’état, mais s’étendait à l’espionnage économique.

Si auparavant beaucoup de patrons de PME croyaient naïvement ne pas être concernés, maintenant toute entreprise perçoit que la sécurité de ses informations doit faire partie de ses préoccupations.

Les cas de demandes de rançons se multiplient

Au-delà des conséquences d’une interruption d’activité à cause d’une attaque paralysant son système informatique, l’entreprise risque d’être confrontée à une fuite de données sensibles, ce qui peut être beaucoup plus grave.

En effet, de plus en plus de cyberattaques visent maintenant des entreprises dans l’optique de récupérer des données confidentielles puis de soumettre les sociétés à un chantage pour obtenir une rançon. Le cybercriminel menace par exemple de publier ces informations sur Internet ou de les faire « tomber » dans les mains d’un journaliste. Et s’il ne parvient pas à lire les données, il peut tenter de crypter le serveur où se trouvent ces données (ou encore plus simplement le noyer de requêtes d’accès via une attaque type DoS) et exiger une rançon pour que l’entreprise puisse y ré-accéder. Ce genre de fâcheuses situations ne concerne pas que le secteur financier, mais aussi toute entreprise commerciale ou industrielle. Car qui ne stocke pas sur son réseau informatique des fichiers de données qui doivent restés confidentiels (processus de fabrication, prix d’achat, comptabilité, coordonnées de clients avec les rabais accordés à chacun,…) ?

Il n’y a évidemment pas lieu de tomber dans la paranoïa. Couper son système d’information de tout lien vers l’extérieur, serait contreproductif. Reste dès lors à tenir compte de ces menaces, et donc à l’amont de s’en prémunir au maximum, d’être en mesure de détecter un incident et de limiter les conséquences éventuelles en prévoyant un plan de rétablissement au cas où.

Le patron ne doit pas se dire que c’est une affaire d’informaticiens

En sécurité, qu’elle soit physique ou informatique, le risque zéro n’existe pas. Et la solution universelle non plus ! Seule une combinaison de mesures permet de réduire le risque. Et il ne s’agit pas que d’une question d’investissements financiers. Souvent l’aspect humain est encore plus important (à l’origine de plus des ¾ des incidents), de sorte que la sécurité informatique doit être une préoccupation du management avant d’être celle de l’équipe informatique, ou celle du sous-traitant informatique.

Les efforts à y consacrer doivent être proportionnels aux risques :

  • pertes financières en cas d’attaque (désorganisation, pas de revenus / vol, fuite de secrets / extorsion,…)
  • et conséquences potentielles sur l’image de l’entreprise, voire sur la pérennité de celle-ci.

Prévenez-vous contre les cyber-attaques !

Une série de bonnes pratiques et bons réflexes permettent de limiter sensiblement les risques, en multipliant les barrières et en réduisant les failles. Voici les 9 points les plus importants:

  1. Sensibilisez et former les collaborateurs : ceux-ci doivent connaître quelles sont les informations sensibles aux yeux de l’entreprise, comment transférer des informations de façon la plus sûre possible, comment communiquer de façon judicieuse (notamment sur les réseaux sociaux), comment se protéger des virus et des logiciels malveillants et comment choisir des mots de passe, comment repérer des sites web malveillants, quels sont les pièges d’ingénierie sociale les plus courants utilisés pour tenter d’obtenir un accès, et que faire s’ils constatent un problème. Contrairement à des idées reçues, l’essentiel des fuites de sécurité informatique ne sont pas dû des défaillantes techniques mais plutôt humaines. Il est donc pertinent d’établir une charte de sécurité informatique et de la rappeler régulièrement aux collaborateurs.
  2. Sécurisez physiquement vos installations informatiques (protection physique, badges d’accès,…) : Rien ne sert de blinder virtuellement l’accès extérieur à son système si le cybercriminel peut pénétrer plus facilement dans les locaux de l’entreprise et installer un logiciel sur un des PC connectés au réseau interne.
    • Tenez à jour un inventaire des différents éléments de votre infrastructure informatique.
  3. Gérez les accès informatiques aux installations (fixes, wifi interne et à distance par VPN): une politique précise doit être établie, définissant qui a accès à quoi.
    • Les paramètres de sécurité sur les PC et terminaux mobiles ne doivent pas être librement modifiables par tout utilisateur.
    • Par défaut, l’installation libre de logiciels et de périphériques ne doit pas être possible, en dehors d’une liste définie.
    • L’attention doit être également portée à supprimer immédiatement les accès d’anciens collaborateurs, sous-traitants, stagiaires,…
  4. Veillez aux connexions indirectes aux installations informatiques, via des clés USB, mais aussi via les appareils mobiles. Si l’approche BYOD (bring your own device) peut être séduisante pour l’entreprise, qui évite de devoir investir en permettant à ses employés d’utiliser leur propre équipement, elle doit être accompagnée de règles claires (ex : mot de passe obligatoire) et de l’installation d’outils automatiques qui par exemple scannent tout appareil connecté au réseau interne et permettent la destruction à distance de données de l’entreprise qui y seraient stockées.
  5. Sécuriser les accès vers l’internet: Un logiciel antivirus est indispensable, mais doit être combiné avec un pare-feu (filtrage web entrant et sortant) et un système de détection de malwares.
    • Par défaut, l’accès à certains sites et services peuvent être bloqués (ex : sites Peer to Peer, sites proposant des logiciels piratés ou des solutions de contournement de systèmes de sécurité, sites de téléchargements de contenus illégaux ou protégés,…).
    • Des outils permettant de scanner automatiquement tout fichier téléchargé et script, et de repérer le phishing sont recommandés (ex : détection si la destination réelle diffère de l’adresse du lien affiché). Il est aussi vivement recommandé de disposer d’un outil horodatant et archivant l’adresse d’origine de tous les accès, tant internes qu’externes, aux réseaux. Cet outil doit être évidemment lui-même sécurisé indépendamment.
  6. Veillez aux mises à jour : Très régulièrement des failles de sécurité sont repérées. Il y a donc lieu de systématiquement mettre à jour son système informatique,
    • au niveau tant des serveurs, des équipements réseaux (routers…), que des PC et des autres terminaux (smartphone, tablettes),
    • et que ce soit l’OS (operating system), les navigateurs web, les plug-ins de ces navigateurs, et les logiciels de sécurité.
      Il faut évidemment ne télécharger les mises à jour qu’à partir de la source officielle des éditeurs et se méfier des liens reçus dans un e-mail.
  7. Etablissez une classification de vos données et protégez vos informations sensibles. Il faut éviter le travers de ne se focaliser que sur l’optimisation de la sécurité de ses installations informatiques. Cela ne doit être qu’une première barrière. La seconde doit être l’impossibilité de disposer en clair de vos données, qui doivent être le cœur à protéger. Différentes techniques de cryptage doivent être employées pour les données sensibles et être activées automatiquement (notamment sur les clés USB, smartphones et supports de backup internes et système d’archivage dans le cloud). Tenez compte que le secret de la correspondance n’est pas vraiment garanti en ligne. Il est en réalité plus sûr de transmettre un contrat d’affaire confidentiel par la poste, que par e-mail, et il faut éviter de le stocker dans des applications « cloud ». Ainsi, si vous devez transmettre un projet de brevet international à un juriste avant le dépôt officiel, mieux vaut privilégier l’offline…
  8. Imposez à vos collaborateurs une politique de mots de passe sécurisés. 4 règles importantes :
    1. Le mot de passe doit être strictement personnel et non écrit
    2. le mot de passe doit être long (min 8 caractères) et complexe (pas un mot du dictionnaire, pas une date, mais une combinaison de lettres, chiffres et caractères spéciaux)
    3. S’il est humainement impossible de retenir un mot de passe différent pour chaque service, il faut au moins que le code diffère pour chaque type d’application, en distinguant activité professionnelle et privée (ex : webbanking, e-mail privé, e-mail professionnel, cloud, réseau social privé, réseau social d’entreprise,…)
    4. le mot de passe doit changer au cours du temps (ex : forcer une modification chaque trimestre pour l’accès au réseau interne).
  9. Archivez régulièrement et testez la fiabilité : Une bonne pratique consiste à sauvegarder distinctement les programmes (via une image complète de l’ordinateur, prête à être réinstallée) des données, à crypter. La politique de sauvegarde doit définir quelles données doivent être sauvegardées, pendant combien de temps, qui assure la copie, comment et à quel rythme, où le stockage s’effectue et qui en est responsable, qui teste régulièrement si les sauvegardes sont potentiellement récupérables et donc utilisables,…

Détectez et identifiez !

Investissez dans des systèmes de détection d’intrusion. Testez régulièrement (ou chargez une entreprise spécialisée de faire cycliquement des vérifications)

Agissez et limitez autant que possible les conséquences !

  • Cantonnez : déterminez dans les meilleurs délais l’ampleur de l’intrusion, les zones certainement concernées et les zones touchables. Veillez à renforcer les barrières d’accès menant aux autres systèmes.
  • Informez-vous : peut-être que d’autres entreprises sont concernées également par le même problème. Consultez les rapports de l’équipe fédérale d’intervention d’urgence (www.cert.be)
  • Déclarez : En cas de cyber-criminalité (piratage, saborage, espionnage), vous pouvez vous adressez à la Federal Computer Crime Unit (02 743 74 74), d’autant plus si votre infrastructure risque d’être utilisée à votre insu pour commettre des actes malveillants. La responsabilité de la société peut être également engagée si l’acte malveillant entraine une violation de la loi sur la vie privée.
  • Veillez à conserver les traces d’intrusion. Isolez les machines impliquées. L’efficacité de votre outil d’historique des accès (logs) pourra être d’une grande utilité pour l’enquête de police.
  • Autant que possible, n’effacez rien tant que le problème n’a pas clairement été cerné et l’origine identifiée. Privilégiez plutôt provisoirement l’installation du système de backup sur un serveur en réserve. Tenez un relevé au fur et à mesure des différentes actions entreprises pour tenter de régler le problème
  • Réactualisez votre plan de sécurité informatique en tirant les enseignements nécessaires de l’incident rencontré

Pour en savoir plus :

La problématique de la sécurité informatique ne peut être complètement abordée en quelques lignes. Voici quelques ressources utiles pour vous informer de façon plus approfondie :