En quelques années, la sécurité des systèmes d’information s’est complexifiée. Avec l’apparition de nouveaux usages, il est plus difficile de se prémunir des fuites d’informations confidentielles, des erreurs humaines ou encore des attaques informatiques extérieures.
Parce que les conséquences de la perte ou du vol de certaines informations peuvent être extrêmement graves, il est important pour toute organisation de se donner les moyens d’assurer la sécurité de son système d’information. Qu’il s’agisse de mettre en place des mesures d’hygiène informatique, ou de confier la gestion de son système un prestataire, il existe plusieurs méthodes pour protéger ses données et limiter les risques d’incidents.
Augmentation du nombre de malware, augmentation du nombre des attaques applicatives, 2012 aura été une année particulièrement difficile pour la sécurité informatique, et avec l’apparition des nouveaux usages liés à la mobilité, 2013 s’annonce plus redoutable encore.
Quelques bonnes pratiques pour mieux protéger son système
Afin de mieux préparer les entreprises, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publiée en octobre 2012 un guide d’hygiène informatique regroupant des règles simples pour sécuriser son système d’information.
-
Connaître son système
La toute première de ces recommandations et de connaître son système et ses utilisateurs.
Il est nécessaire de disposer d’une cartographie du système avec une liste des ressources matérielles et logicielles afin de pouvoir élaborer des mesures de sécurité adaptée et de faciliter le retour à la normale en cas de panne ou d’incidents.
Cet inventaire doit être exhaustif et tenu à jour. De plus, il est important de faire auditer son système au moins une fois par an.
-
Utilisateurs, droits et procédures
Une autre recommandation importante et de disposer de procédures liées au départ et à l’arrivée des collaborateurs afin de garantir que les droits octroyés sur le système d’information sont bien appliqués.
Toujours concernant les droits des utilisateurs, une autre règle importante est de limiter le nombre d’accès et les interconnexions avec les réseaux partenaires.
Il est également important de prévoir des règles spécifiques pour la connexion des équipements personnels (et à ce sujet l’ANSSI recommande même d’en interdire la connexion).
- Gestion du matériel
Concernant le matériel, il est important de disposer de logiciels toujours mis à jour et de s’informer de la vulnérabilité des différents composants logiciels. Une politique de mise à jour doit donc être définie et appliquée avec exactitude.
- Gestion du réseau
Concernant le réseau interne, il est important de sécuriser les passerelles d’interconnexion avec Internet et de vérifier qu’aucun équipement du réseau ne comporte d’interfaces d’administration accessible depuis Internet.
Il faut également interdire tout accès à Internet depuis les comptes d’administration et utiliser un réseau dédié à l’administration des équipements. Enfin, il ne faut permettre l’accès à distance aux réseaux d’entreprise qu’à partir de postes qui mettent en œuvre des mécanismes d’authentification forte.
- Locaux physiques
De plus, il faut également contrôler l’accès aux locaux et la sécurité physique, qu’il s’agisse de mettre en place une alarme, ou des droits spécifiques pour l’utilisation des photocopieurs et imprimante…
- PCA / PRA
Enfin, il faut prévoir un plan de reprise d’activité ou un plan de continuité d’activité si nécessaire, et en cas d’accident et ne jamais se contenter de traiter une infection sans avoir compris comment elle a pu s’installer sur la machine.
Ainsi, la sécurité informatique d’une entreprise doit être organisée : des rôles spécifiques doivent être attribués et des personnes responsables doivent être désignées afin de pouvoir gérer les incidents.
Les moyens à mettre en oeuvre
Il est donc bien souvent nécessaire de disposer de personnes dédiées en interne pour s’occuper du système et mettre en place cette procédure. Des contraintes qui peuvent paraître lourdes des TPE ou des PME. Ainsi, il sera parfois plus efficace et plus adapté de faire appel à un prestataire dans le cadre de l’infogérance de son système informatique.
La réponse de Déessi
Déessi peut vous accompagner dans ce processus de réappropriation de votre système d’information, et de mise en place de procédures, dans le but de sécuriser votre fonctionnement et l’intégrité de vos données.
Après un audit complet de votre système, Déessi vous aide à rationaliser vos procédures, à perfectionner votre infrastructure informatique si besoin, et à prévoir les mesures nécessaires pour une continuité de service ou pour une reprise de l’activité dans de bonnes conditions et dans un délai adapté.
Déessi est également en mesure de vous proposer une externalisation de votre système, afin de vous assurer que vos données sont hébergées dans des espaces sécurisés et supervisés à tout moment.
N’hésitez pas à nous contacter pour plus d’informations.