Bonne Practiques - Une liste de contrôle des mesures de sécurité pour les PMEs

La gestion du risque et la politique de sécurité

Une gestion des risques nécessite l’analyse du besoin de sécurité par actif (classification selon l’impact redouté), évalue la probabilité des menaces pour ces actifs et quantifie l’aisance d’exploiter les vulnérabilités de ces actifs.

Pour les très petites entreprises, cette analyse des risques n’est pas évidente à réaliser. De ce fait cette section propose une liste, non exhaustive, de menaces potentielles et de traitements pour en réduire l’impact.

Si votre organisme redoute des impacts sérieux, il est fortement recommandé de faire procéder par une approche des gestion des risques, de définir une politique de sécurité ainsi qu’un processus d’amélioration continue. D’autres conseils peuvent être trouvés dans l’article « Protéger son entreprise ».

L’infrastructure face aux menaces

Par infrastructure on comprend ici tous les actifs et services essentiels sur lesquels repose le système d’information, comme notamment la fourniture de services d’énergie, de communication ou de traitement. Ces services sont donc critiques pour le fonctionnement du système d’information et soumis à certaines menaces ((voir « L’infrastructure face aux menaces » :

• Incendie
• Interruption de service
• Attaques par déni de service et déni de service distribués
• Transmission des communications sans fil perturbée
• Écoute des réseaux sans fil
• Interception des communications
• Accès réseau indisponible
• Panne de courant
• Discontinuité des fournisseurs de service
• Pénétration dans les locaux

Le matériel face aux menaces

Voir l’article « Le matériel face aux menaces » :

• Sauvegardes inutilisables
• Endommagement du matériel pendant le transport
• Equipement informatique ou de communication en panne
• Insertion ou suppression de matériels
• Récupération des supports
• Vol caractérisé

Le logiciel face aux menaces

Les logiciels sont l’interface utilisateur la plus couramment utilisée pour manipuler les informations. Cette interface, qui représente un ensemble fini et pourtant immense de possibilités, est soumis à de multiples contraintes et de multiples menaces mettant en péril le fonctionnement de l’organisation, avec en point d’orgue les malwares qui feront l’objet d’un chapitre spécifique dans ce document. Voir « Le logiciel face aux menaces » :

• Environnement logiciel inapproprié
• Utilisation de logiciels non approuvés
• Administration impossible

Le côté légal

Des dispositions légales et règlementaires particulières sont à respecter par les organisations. Ces dispositions touchent notamment au respect de la vie privée, aux droits d’auteur, et aux dispositions règlementaires spécifiques du secteur d’activité. Voir « Le côté légal » :

• Traitement non autorisé de données personnelles - Surveillance des employés
• Licence non valide ou inexistante
• Défaut de traçabilité des opérations
• Exigences réglementaires

Les humains faces aux menaces

Voir l’article « Les humains faces aux menaces » :

• Social engineering / Communication inadéquate
• Erreur humaine
• Utilisation abusive des ressources de l’organisation
• Personnel absent
• Administrateur malveillant
• Spam / Phishing
• Utilisation d’un accès réservé à un utilisateur par un tiers

Le traitement des codes malicieux

Les mesures de sécurité préconisées pour contrer les codes malicieux.