PME : 10 points clés pour garantir la sécurité informatique de votre réseau
La cybersécurité pose un vrai problème pour une PME qui ne peut mobiliser que peu de moyens pour protéger son informatique. Pourtant, nul n'est à l'abri d'une attaque. Quelques recettes simples de sécurité informatique des PME permettent de se prémunir contre le plus grand nombre et réagir lorsqu'on est touché.
1. Rédiger une politique de la sécurité informatique
La sécurité informatique ne s'improvise pas et ne se bâtit pas en réaction à la suite d'une attaque ou en réaction à un fait d'actualité. Il faut poser sur le papier quels sont les périmètres du système d'information à protéger, de quelle façon y parvenir. Il est essentiel de bien définir les responsabilités de chacun, les procédures à mettre en place pour faire face à un problème de sécurité informatique afin de ne pas réagir dans la précipitation en cas de problème avéré.
2. Contrôle des accès internet de l'entreprise
Chaque point d'accès Internet de l'entreprise, qu'il soit au siège ou dans chacun de ses établissements, est potentiellement un passage que va emprunter un pirate pour accéder au système d'informations de l'entreprise. Pour simplifier la sécurité globale, il convient d'en limiter au maximum le nombre, privilégier une approche de réseau sécurisé privé virtuel (VPN) avec un unique point d'échange sécurisé avec internet pour l'ensemble de l'entreprise. Le déploiement de routeurs ADSL ou 4G par les salariés doit être strictement interdit. Grâce à ce contrôle d'accès informatique, les données de l'entreprise pourront être protégées.
3. Contrôler les accès WI-FI
Tout comme les accès Internet clandestins posent un sérieux problème de sécurité informatique, les bornes Wi-Fi déployées dans les locaux de l'entreprise doivent être placées sous très haute surveillance. Il y a déjà eu des cas d'espionnage industriel via ces accès et, s'ils sont mal sécurisés, ils sont de véritables invitations au piratage. Des pirates installés dans le voisinage ou même dans un véhicule garé dans la rue ont de multiples outils à leur disposition pour décrypter les mots de passe Wi-Fi en quelques minutes si ces accès sont mal sécurisés. Contrôler ces accès doit faire partie de la politique de sécurité informatique de l'entreprise.
4. Homogénéiser le parc informatique
Impossible de sécuriser un parc informatique lorsque chaque PC a un OS différent, des logiciels de sécurité différents. L'une des premières démarches à adopter pour sécuriser un parc est d'uniformiser les OS, les paramètres de sécurité ainsi que les logiciels de protections installés sur chacun d'eux. Pare-feu local, anti-virus pour entreprise sont indispensables sur tous les postes.
5. Filtrer les sites internet sans pénaliser
Difficile en 2014 d'interdire aux salariés de surfer sur le Web. Mis à part sur des postes extrêmement critiques qui doivent être totalement isolés d'Internet lorsque leur contenu est « top secret ». On ne peut plus priver les salariés d'accès aux réseaux sociaux, aux sites de vidéo, etc. Ouvrir de tels accès n'empêche pas contrôler et éventuellement mettre en place un filtre internet pour les sites dangereux. Il est du devoir de l'employeur de filtrer les sites liés au piratage d'applications, aux échanges de liens de téléchargement illicites ou des sites pornographiques.
6. Attention aux applications Cloud personnelles
C'est un comportement de plus en plus fréquent contre lequel les entreprises doivent lutter. Le recours par les salariés aux solutions de stockage librement accessible sur le Web pose un vrai problème de sécurité. Les entreprises n'ont aucun moyen de contrôle quant aux fichiers que le salarié y dépose, aucun moyen de savoir s'il ne place pas ces informations en accès public. Bien souvent ces plateformes sont hébergées aux Etats-Unis, ce qui pose potentiellement un risque juridique s'il s'agit de données nominatives. Il faut donc accorder une attention particulière quant à la sécurité des applications.
7. Soyez prêt face aux attaques informatiques
Ne vous posez plus la question si vous allez être attaqué, mais plutôt quand ce sera le cas. Les grands réseaux de botnets parcourent inlassablement Internet pour trouver des serveurs mal sécurisés et y installer leur code malveillant à l'insu de leurs propriétaires. Pour les repousser, il faut disposer sur les accès internet des dispositifs anti-intrusion, capable de filtrer les malware, mais aussi déjouer les attaques les plus sophistiquées type 0-day ou APT. Enfin, il faut mettre en place les procédures qui permettront la reprise de la production informatique si une des attaques informatique parvient malgré tout à passer tous ces écrans.
8. Gérez la sécurité de votre flotte de mobiles
Ordinateurs portables et smartphones sont fréquemment perdus ou volés lors de déplacements. La tendance au nomadisme ne va faire qu'amplifier cet état de fait. Ces terminaux perdus sont la cause d'importantes fuites de données informatiques d'entreprise. Il faut être absolument capable d'activer/désactiver très rapidement les accès sur les terminaux perdus, de chiffrer leur contenu mais aussi être capable d'effacer à distance toutes les informations sensibles dès la perte signalée. Une solution de MDM telle que XenMobile de Citrix proposée par Bouygues Telecom Entreprises permet une telle gestion de la sécurité de la flotte mobile en société.
9. Maintenez vos équipements et logiciels informatiques à jour
Un système informatique n'est jamais sécurisé ad vitam aeternam. De nouvelles techniques d'attaque informatique font régulièrement leur apparition, de nouvelles failles dans les logiciels et les équipements sont découvertes tous les jours. Une seule parade : toujours tenir ses installations et l'ensemble de son parc applicatif à jour. Le recours à une solution de sécurité managée peut être un moyen de simplifier cette problématique.
10. Responsabilisez votre personnel avec une formation à la sécurité informatique
L'élément humain est et restera toujours le maillon faible de la sécurité informatique d'une entreprise. Les pirates informatiques ont recours à l'ingénierie sociale car elle est bien souvent plus simple à mettre en œuvre qu'une cyberattaque sur un système d'information protégé. Les plus grandes entreprises ont eue à faire face aux « arnaques au président », un simple coup de fil à un assistant où le présumé chef d'entreprise lui ordonne d'effectuer un virement à l'étranger. La première contre-mesure, c'est de responsabiliser le personnel. Il faut indiquer aux personnels quels sont les bons comportements à tenir face aux menaces de ce type, face à une clef USB que l'on trouve dans la rue, etc. Des règles de comportement simples permettent de déjouer bien des attaques.
Annexe : Quelques liens pour aller plus loin
Guide d'hygiène informatique de l'ANSSI
Module d'autoformation à la sécurité du poste de travail de l'ANSSI
Sécurité du SI : pourquoi les méthodes classiques ne marchent pas
Protection de l'information et cloud computing, guide du Cigref
Eduquer les acteurs de l'entreprise aux risques numériques, guide du Cigref
Cybersécurité des systèmes industriels : Par où commencer ? Synthèse des bonnes pratiques et panorama des référentiels, guide du Clusif