Comment sécuriser son réseau interne après le RGPD ?

Longtemps vu comme une simple multiprise, le réseau informatique doit apporter un minimum d’administration et de supervision. Avec la mise en vigueur du RGPD, l’entité est obligée de prévenir dans les 72h en cas de violation des données personnelles, incluant notamment l’accès non autorisé à des données. C’est alors qu’il devient important de mettre en place des outils d’administration efficaces afin de sécuriser le réseau et prévenir en cas de comportement anormal ou d’accès non autorisé.

Cartographier son système d’information

Chaque entreprise ou organisation possède des données à caractère personnel dont certaines dites sensibles telles que définies par la législation. À partir de cette liste de données sensibles, il sera possible de déterminer sur quels composants du système d’information elles se localisent afin d’identifier les serveurs et les postes critiques pour l’entité. C’est à ce titre qu’ils devront faire l’objet de mesures de sécurité spécifiques pouvant porter sur la sauvegarde, la journalisation et les accès.

Ainsi, il s’agit donc de créer et de maintenir à jour une cartographie simplifiée du réseau interne, notamment les interconnexions possibles avec l’extérieur. Il faut alors se demander quelles sont les vraies sources de risque et d’évaluer ces menaces : s’agit-il d’un risque matériel, logiciel ou humain ?

Définir une politique d’accès au réseau interne

La sécurité du système d’information repose sur une bonne gestion des politiques de sécurité s’appliquant à l’ensemble du parc informatique. La difficulté réside dans l’application de ces politiques. Celles-ci doivent être simples et rapides aussi bien pour les administrateurs que pour les utilisateurs. Une manière de garantir la sécurité du système d’information est d’abord de maîtriser les équipements qui s’y connectent, chacun constituant une porte d’entrée potentielle de vulnérabilité.

Pour sécuriser le système d’information, il est conseillé de le séparer physiquement. Les serveurs, les passerelles et les matériels réseaux doivent être placés dans des salles spécifiques dont l’accès est protégé et limité aux seuls administrateurs. Ces mêmes administrateurs doivent être informés régulièrement de ce qui se passe sur le réseau afin d’identifier rapidement les activités suspectes.

Mais il faudra veiller également à segmenter virtuellement le réseau informatique afin que les utilisateurs aient accès uniquement aux données et aux ressources dont ils ont besoin et éviter l’accès et la compromission des données même de façon involontaires aux personnes non autorisées. 

L’entité se doit de sensibiliser l’ensemble des utilisateurs de son réseau. Par défaut, ils ont tendance à privilégier la commodité plutôt que la sécurité. Pour contrer ces sources de risque, différentes solutions, souvent simples à déployer, existent. Encore faut-il que l’entité les identifie et s’adapte à leur usage du réseau interne : l’équipement des collaborateurs est-il fourni par l’entreprise ou par les collaborateurs eux-mêmes ? 

Enfin, il ne faudra pas oublier non plus l’accès au réseau des visiteurs. Si on n’est habituellement assez vigilant avec les visiteurs occasionnels, on donne plus facilement accès aux visiteurs réguliers aux ressources de l’entreprise pour des questions de commodités encore une fois.

Quelles que soient l’infrastructure et les techniques de sécurité mises en place, si les procédures d’utilisation des outils et moyens de communication ne sont pas comprises ni respectées, les sources de risque vont augmenter et mettre en péril la sécurité interne du système d’information.