Protéger son entreprise
Prévenir les risques
La meilleure façon de sécuriser son entreprise est d’installer un processus de gestion des risques. Il permet d’identifier des mesures de protection adaptées à la situation et aux valeurs de l’entreprise, tout en protégeant les actifs les plus importants. Voir: “pourquoi gérer les risques ?” et “pourquoi mutualiser l’analyse des risques ?”
Le risque peut se définir par le calcul suivant : risque = vulnérabilité * menace * impact. Il est composé d’un facteur ‘probabilité’ (provenant de la menace) et d’un facteur ‘dégât’ (provenant de la valeur de l’actif compromis, respectivement de la valeur du dommage indirect subit). La vulnérabilité utilisée dans cette fonction prend compte des mesures de sécurité mise en place.
Il est pratiquement impossible de prévenir un risque en voulant agir sur les menaces existantes. Par contre, on peut agir sur le risque en réduisant les facteurs ‘vulnérabilité’ et ‘impact’ :
- Réduire le facteur ‘vulnérabilité’, par la mise en place de mesures de sécurité ciblées
- Réduire l’impact potentiel, par la mise en place de systèmes de redondances des données (n’a cependant aucun effet sur la confidentialité des données)
Un organisme qui s’initie au domaine de la sécurité de l’information peut choisir de mettre en place des bonnes pratiques, sans nécessairement déployer des processus spécifiques à la gestion des risques.
Les “menaces” désignent l’ensemble des éléments pouvant compromettre les ressources informatiques d’une organisation.
Les “vulnérabilités” expriment toutes les faiblesses humaines et techniques qui pourraient être exploitées par des menaces, dans le but de les compromettre.
L’“impact” est le résultat de l’exploitation d’une vulnérabilité par une menace, donc le dommage causé.
La combinaison des ces trois facteurs fonde le “risque”.
Protéger les données
Les processus métier tout comme les données sont appelés des actifs primaires (Classification des actifs; gestion des risques). La première priorité pour une mise en sécurité au niveau informatique concerne la protection de ces actifs primaires.
Toute entité a un intérêt particulier à protéger ses données d’entreprise, notamment lorsqu’il s’agit d’informations relatives à la réalisation du plan économique de celle-ci. Par ailleurs, les exigences légales ou encore les attentes clients représentent également des raisons qui amènent une entreprise à protéger des données spécifiques.
Différents types de données qui doivent être protégées :
- la propriété intellectuelle
- les secrets de production
- les données clients
- les données des processus, comme notamment les données logistiques, comptables, fournisseurs,…
La perte de données a généralement des conséquences néfastes pour toute entité.
Classification des données
Avant de mettre en place des mesures de protection l’entité doit procéder à une classification , au moins sommaire, des données qu’elle traite. Cette classification est importante pour prendre conscience de la juste valeur (confidentialité, intégrité et disponibilité) des données. Dépendant de la valeur des données, respectivement de l’impact attendu en cas de compromission des données, l’entité va pouvoir décider de l’investissement à consacrer à la sécurité des données.
Remarque : le schéma de classification appliqué aux informations doit aussi être appliqué aux contenants, c’est-à-dire aux conteneurs, aux emplacements physiques et aux supports contenant des informations. Le terme contenant est considéré au sens large.
- Classification et maîtrise des ressources
- Contrôle d’accès – Politique de contrôle d’accès and Gestion des droits d’accès
La sauvegarde des données
Toutes les données qui ont été identifiées au sein d’une entreprise comme ayant un besoin de disponibilité doivent être sauvegardées. Par la création d’une copie de sauvegarde, la perte ou destruction des données primaires peut plus facilement être compensée. La sauvegarde devient cependant plus difficile, lorsque les données à sauvegarder revêtent un caractère confidentiel ou d’intégrité.
Les données ayant un besoin de confidentialité doivent être protégées contre tout accès illicite, indépendamment du support sur lequel ils se trouvent et indépendamment de l’endroit où ils sont stockés.
Les données ayant un grand besoin d’intégrité doivent être protégées contre toute modification par des personnes non autorisées. Ceci vaut aussi pour les sauvegardes. De plus, en ce qui concerne les originaux papier digitalisés, il faut nécessairement respecter les conditions d’archivage électronique.
- Aspects opérationnels et communications — Sauvegarde des données
- Sécurité physique et environnementale — Périmètre de sécurité physique et Règles dans le périmètre
- Contrôle d’accès – Politique de contrôle d’accès and Gestion des droits d’accès
La destruction des données
Les données dont l’entreprise n’a plus besoin, respectivement celles qui doivent être supprimées, doivent être détruites de façon à ce que leur critère de confidentialité ne soit pas violé.
Une destruction définitive et sécurisée des données doit respecter certains critères de sécurité. Il existe des méthodes qui permettent la réutilisation des disques, ou même de l’ordinateur.
Pour des données strictement confidentielles, ils est fortement conseillé de détruire les supports de données, y inclus les disques durs, par broyeur ou démagnétiseur.
La transmission de données
La technologie utilisée pour transmettre des données doit notamment respecter les critères de confidentialité et d’intégrité des données (plus rarement ceux relatifs à la disponibilité).
Il est fortement recommandé d’utiliser des moyens cryptographiques pour protéger les données à transmettre contre la perte de confidentialité et d’intégrité.
Toute communication via l’Internet (téléchargement, FTP) doit donc être chiffrée, au moins via SSL respectivement via un réseau respectivement via un réseau VPN. L’envoi en clair (càd non chiffré) d’informations confidentielles via courrier électronique est strictement à éviter.
- Aspects opérationnels et communications — Courrier électronique
- Développement et maintenance des systèmes — Utilisation du chiffrement
- Contrôle d’accès — Utilisation de réseaux externes
SOS:
Le transport de données
La technologie utilisée pour transporter des données doit respecter les besoins de confidentialité, d’intégrité et de disponibilité des données (surtout pour des originaux).
Il est fortement recommandé d’utiliser des moyens cryptographies, et de sécurité physique pour protéger les données transportées contre la perte de confidentialité, d’intégrité et de disponibilité.
- Aspects opérationnels et communications — Sécurité des medias pendant les transports
- Sécurité physique et environnementale — Sécurité des équipements hors locaux
- Développement et maintenance des systèmes — Utilisation de l’encryption
Protéger une machine
Les machines utilisées pour réaliser les processus métiers et pour traiter les informations de l’organisme sont appelés actifs secondaires ou encore actifs de support ( voir : classification des actifs ; analyse des risques). Afin de pouvoir protéger les processus métiers, respectivement les informations, il faut protéger les actifs de supports qui sont utilisés pour les traiter.
En effet, la compromission au niveau d’un ordinateur ou d’un serveur peut évidemment entraîner la perte de confidentialité, de disponibilité et de l’intégrité des processus ou informations qui y sont traités.
Il faut donc mettre en place, au niveau des actifs secondaires, des mesures de traitement des risques afin de prévenir des impacts néfastes.
Les ordinateurs
La plupart des organisations dédient au moins un ordinateur de bureau à la gestion de l’organisme. Cet ordinateur doit être protégé contre les menaces les plus répandues. Il est fortement conseillé de mettre en place les mesures de sécurité de base
Suivant la criticité des données traitées, respectivement des processus métiers supportés, il faudra bien entendu élargir le niveau des mesures de protections.
Politique de sécurité pour PME ::
- Aspects opérationnels et communications – protection contre les logiciels malicieux et Sauvegarde des données
- contrôle d’accès
Les ordinateurs portables
Certaines organismes utilisent aussi des ordinateurs portables comme actifs de support pour les processus métier ou pour traiter certains types de données. Ces ordinateurs portables sont souvent sortis de l’enceinte sécurisée d’un bureau et emmenés en des moyens de transports privés ou publics ou encore utilisés dans des lieux privés ou publics. Souvent ils sont connectés à des réseaux étrangers à l’organisme. Les menaces mettant en cause les ordinateurs portables sont nombreuses et toute organisme voulant utiliser des ordinateurs portables doit au moins respecter les mesures de sécurité basiques.
Politique de sécurité pour PME ::
- Aspects opérationnels et communications – protection contre les logiciels malicieux et Sauvegarde des données
- contrôle d’accès – Gestion des droits d’accès, et Gestion des mots de passe et Procédures de connexion et Connextions de l’extérieur and Utilisation de réseaux externes
- aspects humains – La formation et l’information
- Classification et maîtrise des ressources
- Développement et maintenance des systèmes – Utilisation du chiffrement
Les serveurs de fichiers
Certains organismes utilisent des serveurs de fichiers pour faciliter la coopération entre les différents agents respectivement pour augmenter le niveau de résilience des données stockées. Tout comme les autres machines de l’organisme, les serveurs de fichiers sont des actifs de support pour les processus métier. Mais ils représentent souvent le point de défaillance unique d’ une organisation à petite ou moyenne taille.
Les besoins en terme de confidentialité, de disponibilité et d’intégrité des serveurs de fichiers sont de ce fait plus grands que pour les autres actifs de support de l’organisme. Il est donc essentiel d’appliquer des mesures de sécurité basiques sur ce type de machines.
Politique de sécurité pour PME ::
- Aspects opérationnels et communications – protection contre les logiciels malicieux et Sauvegarde des données
- contrôle d’accès – Politique de contrôle d’accès and Gestion des droits d’accès, and Password management and Gestion des mots de passe and Procédures de connexion and Connexions de l’extérieur
- aspects humains – La formation et l’information
- Classification et maîtrise des ressources
- Sécurité physique et environnementale – Périmètre de sécurité physique; Règles dans le périmètre; Maintenance et Mise en rebut et réutilisation des équipements; Sécurité électrique des équipements
Les serveurs mail
Les services d’un serveur mail sont connectés en permanence à l’Internet. La probabilité d’être exposé à une menace est grande et l’exploitation de nouvelles vulnérabilités souvent aisée. Sécuriser le serveur mail requiert une certaine attention, parfois même un effort de veille de la part de l’organisme. En effet, l’e-mail est souvent le premier moyen de communication au sein d’une entreprise (intégrité) et contient bien souvent des fichiers au contenu sensible (confidentialité).
Les organismes de petite taille disposent rarement de serveurs mail. Leur gestion, notamment leur protection, est trop complexe pour leur utilisation au sein de petites structures.
Politique de sécurité pour PME ::
- Aspects opérationnels et communications – protection contre les logiciels malicieux et Sauvegarde des données
- Contrôle d’accès – Politique de contrôle d’accès; Gestion des droits d’accès, and Gestion des mots de passe; Procédures de connexion; Séparation de réseaux; Utilisation de réseaux externes
- Aspects humains – La formation et l’information
- Classification et maîtrise des ressources
- Développement et maintenance des systèmes – Utilisation du chiffrement
Le serveur web
Les serveurs web ne contiennent pas toujours des données confidentielles, de ce fait il sont moins touchés par les problèmes de confidentialité. En revanche ils sont supposés fonctionner en permanence (disponibilité) et doivent être résistants aux attaques potentielles de défiguration ou d’infection. Il est pour cela recommandé de suivre les recommandations pour la sécurisation des serveurs web.
Protéger le réseau
Le réseau est un actif secondaire supportant les processus métiers de l’organisme, et transmettant les informations traitées au sein de cet organisme. Son rôle est essentiel, car sa compromission entraîne souvent celle des machines connectées.
Le réseau local (fixe)
La plupart des organismes connectent leur réseau, respectivement une partie du réseau, à Internet. Ce qui l’expose à une multitude de menaces potentielles. Mais le réseau peut également être mis en péril par des menaces venant de l’intérieur de l’organisme.
L’installation d’un pare-feu (firewall) constitue le cas échéant une protection essentielle pour le réseau car il permet de cloisonner certaines parties du réseau.
Respectez des mesures de sécurité de base pour sécuriser votre réseau local.
Politique de sécurité pour PME ::
- Contrôle d’accès – Procédures de connexion et Gestion des droits d’accès; Utilisation de réseaux externes et Connexions de l’extérieur; Séparation de réseaux
- Sécurité physique et environnementale – Périmètre de sécurité physique et Règles dans le périmètre
Le réseau wifi
De nombreux organismes mettent en place un réseau wifi : il offre certains avantages mais a comme inconvénient majeur que les ondes wifi se propagent à travers l’air et sont généralement aussi accessibles à l’extérieur de l’organisme.
Il est donc important de mettre en place des mesures de sécurité basiques pour réseaux wifi.
Politique de sécurité pour PME ::
- Contrôle d’accès – Procédures de connexion et Gestion des droits d’accès; Utilisation de réseaux externes ; Séparation de réseaux
- Gestion des systèmes d’information – Utilisation du chiffrement
- Sécurité physique et environnementale – Périmètre de sécurité physique et Règles dans le périmètre
Télétravail
Permettre un accès sûr depuis l’extérieur de l’organisation peut se faire de différentes manières en fonction des besoins des employés.
Un accès au serveur de mails est souvent suffisant et peut être facile à mettre en place.
Pour des accès plus importants, il est fortement recommandé de mettre en place un accès par VPN.
Politique de sécurité pour PME ::
- Contrôle d’accès – Procédures de connexion and Gestion des droits d’accès; Utilisation de réseaux externes ; Séparation de réseaux<
- Gestion des systèmes d’information – Utilisation du chiffrement
Formation et sensibilisation
La formation et la sensibilisation à la sécurité des systèmes d’information et de communication constitue un élément essentiel pour que celle-ci devienne une réalité concrète au sein de notre société.
Politique de sécurité pour PME ::
Mesures :
S´organiser
La sécurité d’une entreprise dépend en grande partie des processus métier de celle-ci. Souvent il sera très difficile d’appliquer des règles de sécurité à un processus, qui n’aura pas été pensé pour être sûr. De ce fait il est plus facile, et donc moins cher, de prendre en compte la sécurité depuis la création de l’organisation de la société.
Analysez les processus et essayez de changer ou éliminer ceux qui ne sont pas optimaux, comme par exemple ceux qui nécessiteraient un partage de mot de passe.
L’attribution de rôles spécifiques est ici primordial; l’octroi de responsabilités sur certains actifs, la désignation des personnes responsables de gérer les incidents et la mise en place d’une bonne communication en interne.
Politique de sécurité pour PME ::
- Organisation de la securité – Attribution des responsabilités et Conseils d’un spécialiste; Accès par des tiers et sous-traitance; Revue indépendante de la sécurité des informations; Procédure d’autorisation pour l’ajout d’outils
Protection des locaux
La plupart des organismes disposent de leur propre local ou établissement pour héberger leurs bureaux, dépôts, archives et locaux informatiques. Ils peuvent ainsi restreindre certains risques dus à des menaces d’origine environnementale, délibérée et accidentelle compromettant les besoins en confidentialité, intégrité ou disponibilité des actifs importants ou vitaux.
La mise en place de zones sécurisées, ainsi que la restriction d’accès à ces zones, et donc aux actifs s’y trouvant, réduit nettement le risque provenant de menaces délibérées ou accidentelles.
Les locaux hébergeant des actifs importants ou vitaux doivent également être protégés contre des menaces environnementales, comme notamment les incendies (PME : voir Incendie), les dégâts des eaux, la pollution, la poussière, la corrosion, le gel, les dégâts liés à l’électricité ou des sinistres majeurs.
Voir le chapitre consacré à la sécurité physique de l’organisme.
Accès physique
Plus un actif est important, plus l’accès physique à celui-ci doit être contrôlé. L’organisme disposera donc d’une zone “publique”, accessible aux clients, d’une zone interne, accessible uniquement aux employés ainsi que d’une ou de plusieurs zones sécurisées uniquement accessibles à des personnes autorisées. Les actifs, selon leur importance, seront déployés uniquement dans les zones correspondant à leur degré de protection. Les mesures de sécurité mises en place doivent prévenir des intrusions physiques.
Ainsi un serveur de fichiers, contenant des documents critiques de l’organisme, ne doit pas se trouver dans un local ouvert d’accès. La probabilité d’une manipulation malintentionnée ou accidentelle serait bien trop grande. (PME : voir Vol caractérisé et Pénétration dans les locaux).
Communications and social networks
Les réseaux sociaux font désormais partie de notre vie quotidienne. Pour les entreprises et les organisations, ils présentent des opportunités inédites. Beaucoup en ont déjà fait un levier de communication et de marketing efficace.
Si les avantages sont nombreux, il ne faut pas pour autant perdre de vue les risques , et notamment :
- risque de perte de réputation
- risque d’infection par des virus ou code malveillant circulant sur les réseaux sociaux
- risque de perte ou de divulgation de données
- risque de phishing, scam ou forme d’ingénierie sociale au travers des réseaux sociaux.
Pour prévenir des mesures simples peuvent être mises en place.
Les voyages de service
Les données de l’entreprise (données commerciaux ou stratégiques, résultats de recherche, savoir-faire…) doivent aussi être protégés lors des éventuels déplacements ou voyages de service.
Lors que les ordinateurs portables, les supports amovibles ou supports papiers contenant ces types de données quittent l’enceinte sécurisée de l’entreprise, des précautions spécifiques doivent être prises.
r