Bonnes Pratiques - Se protéger

En quelques mots

La grande majorité des entreprises dispose de données importantes ou vitales (données liées à la fabrication, clientèle, facturation, comptabilité,…) ainsi que d’outils de travail indispensables ou distinctifs, qu’il faut protéger contre une divulgation involontaire (perte de confidentialité, la falsification (perte d’integrité) ou encore la destruction (perte de disponibilité).

Généralement les responsables d’entreprise prennent seulement conscience de la vraie valeur de leurs actifs après avoir subi un incident grave. Il est alors souvent trop tard pour employer des mesures curatives ou protectrices.

Incidents et impacts

Il est important de protéger son ordinateur - les raisons en sont nombreuses..

Beaucoup d’incidents ne sont que difficilement détectables. Comment se rendre compte que quelqu’un vous a volé vos mots de passe et a suivi les communications que vous menez avec vos fournisseurs, clients ou employés via courrier électronique?  Comment savoir que quelqu’un vous espionne directement via votre ordinateur, ou utilise votre serveur de documents, respectivement votre serveur web, pour héberger des fichiers illégaux ? Beaucoup d’incidents restent non détectés et la plupart des impacts sont sévèrement sous-estimés.

Choisir la bonne approche

Il est très important de mettre en place des mesures préventives et protectrices aussi tôt que possible. La manière de procéder peut varier entre une « approche graduelle » ou « générale ». Elle peut être plus ou moins méthodologique, allant de la mise en place de bonnes pratiques et de mesures spécifiques, jusqu’au déploiement d’un ISMS complet. L’entreprise devra choisir la solution qui lui convient le mieux, respectivement celle qu’elle est prête, respectivement capable, à mettre en place.

Les “quick wins”

Quelle que soit l’approche choisie, il est toujours avantageux d’identifier des « quick wins » (comme notamment la gestion des mises à jour, les réseaux WiFi chiffrés, la gestion des mots de passe, etc.) que l’on peut mettre en place rapidement. Ils garantissent des résultats immédiats et sont souvent de mise pour régler certains problèmes urgents, respectivement pour persuader la direction de l’importance des mesures de sécurité.

Une approche graduelle

La meilleure façon de protéger une entreprise consiste à se décider pour une amélioration continue, en prenant en considération les vrais besoins en matière de sécurité pour l’entreprise. Cette approche nécessite plus de temps que l’approche générale, mais en fin de compte elle sera mieux adaptée aux besoins réels - et donc plus efficace et moins chère -, mais certainement plus longue à mettre en place. (Voir l’article protéger son entreprise))

Analyse des risques

Pour pouvoir protéger les données et actifs importants et vitaux, il faut d’abord les identifier par une analyse des risques, même rudimentaire.

Pour ce faire, il faut identifier les données et actifs indispensables à l’entreprise, identifier les menaces et la probabilité que celles-ci risquent de survenir, identifier l’ampleur des vulnérabilités humaines et techniques et quantifier les impacts potentiels. Cet exercice peut être plus ou moins formalisé, éventuellement soutenu par une méthode ou un outil.

Protéger les données

Ensuite il faut procéder à la protection des données. Une fois classifiées, il faut réfléchir à assurer leur protection par des sauvegardes, lors de leur transport ou encore lors de leur transmission. Bien-sûr il faudra aussi prévoir leur destruction sécurisée.

Protéger les machines

Pour protéger vous outils de travail indispensables, mettez en place de mesures préventives et protectrices pour vos ordinateurs, ordinateurs portables, serveur de fichier, serveur mail, ainsi que le serveur web. Mettez en place des mesures de type « réaction sur incidents ».

Protéger le réseau

Pensez aussi à la protection de votre réseau, que ce soit un réseau fixe ou un réseau WiFi. Mettez en place les mesures nécessaires.

Sensibiliser et former

Penser à sensibiliser et former la totalité de vos employés. L’adoption des bonnes mesures comportementales par l’ensemble du personnel est une mesure extrêmement importante. En effet, il s’agit souvent de déployer davantage d’efforts au niveau organisationnel et comportemental qu’au niveau technique pour augmenter la sécurité de vos informations de manière efficace.

Informez votre personnel sur les risques liés à l’utilisation de réseaux sociaux ainsi qu’aux risques liés au « social engineering ». Instruisez-les à se comporter de manière appropriée lors des voyages de service.

Sécurité physique

Finalement ne perdez pas de vue la sécurité physique de votre entreprise. Beaucoup de menaces exploiter des vulnérabilités, qu’il s’agisse de menaces humaines, naturelles ou environnementales.

Approche générale

A côté de l’approche graduelle pour améliorer son niveau de sécurité, une entreprise a également la possibilité de respecter les « bonnes pratiques », respectivement d’établir des mesures de sécurité les plus usuelles. L’approche générale est plus rapide à mettre en place que l’approche graduelle et demande moins de savoir-faire au sein de l’entreprise. Cependant, elle ne prend pas nécessairement en compte les besoins réels de l’entreprise.

Bonnes pratiques

Certains guides de bonnes pratiques sont disponibles sur le site de CASES :

• e-banking et e-commerce
• e-mail
• logiciels malveillants
• voyages de service

Mettez en place une charte pour les utilisateurs.

Les mesures usuelles

Ces listes de contrôle ont été établies en analysant les menaces les plus communes et en proposant des mesures de sécurité organisationnelles, techniques ou comportementales afin de réduire les vulnérabilités existantes.

• L’infrastructure face aux menaces
  • Incendie
  • Interruption de service
  • Déni de service /de service distribué
  • Perturbation de la transmission des communications sans fil
  • Écoute des réseaux sans fil
  • Interception des communications
  • Indisponibilité du réseau
  • Panne de courant
  • Discontinuité des fournisseurs de service
  • Pénétration des locaux
• Le matériel face aux menaces
  • Endommagement du matériel pendant le transport
  • Équipement informatique ou de communication en panne
  • Sauvegardes inutilisables
  • Ajout ou suppression de matériels
  • Récupération de supports
  • Vol caractérisé
• Le logiciel face aux menaces
  • Environnement logiciel inapproprié
  • Utilisation de logiciels non approuvés
  • Indisponibilité des administrateurs
• Le côté légal
  • Traitement non autorisé de données personnelles - Surveillance des employés
  • Licence non valide ou inexistante
  • Défaut de traçabilité des opérations
  • Exigences réglementaires
• Les humains faces aux menaces
  • Manipulation de l’être humain
  • Erreur humaine : mesures de prévention
  • Utilisation abusive des ressources informatiques
  • Absence du personnel
  • L’administrateur
  • Spam / Phishing
  • Utilisation par un tiers d’un accès réservé