Sécurité des SI: Les bonnes questions à se poser

Comme nous l’évoquons très régulièrement, la sécurité de votre système d’information doit être l’une de vos préoccupations majeures.

Marquante à bien des égards, l’année 2020, a également été l’année de tous les records en matière de cybercriminalité. Malheureusement, 2021 semble prendre le même chemin. Nos missions de conseils et de service nous poussent à croire que la sensibilisation de chacun et la vulgarisation de nos discours pourront permettre d’amorcer l’inversion de cette tendance.

Sécurité de système d’information: Les bonnes questions à se poser

Pour ce faire, quel meilleur guide qu’une méthodologie simple autour de questions clé à se poser ? L’ANSSI (Agence Nationale de la Sécurité des Système d’Information) a d’ailleurs publié un guide à destination des TPE et PME. Ce guide propose un certain nombre de questions à se poser pour lesquelles nous apporterons une réponse qui se veut cohérente avec vos impératifs et obligations métier, tout en étant conforme aux obligations de sécurité.

L’idée est que votre système d’information stable et sécure soit au service de votre organisation et non l’inverse.

1. Sécurité de système d’information: Connaissez-vous bien votre parc informatique ?

En effet, la connaissance de vos équipements est la première question que vous devez vous poser. Pour répondre à ce premier enjeu, il conviendra bien évidement de tenir un inventaire précis de votre parc, mais également des vos logiciels et de vos utilisateurs.

Qui utilise quoi ? Qui a accès à quoi ? et surtout pourquoi ? Les réponses à ces questions détermineront ensuite les stratégies que nous mettrons en œuvre afin d’assurer une sécurité optimale à votre système d’information.

2. Effectuez-vous des sauvegardes régulières ?

Faire des sauvegardes régulières de vos données est une des mesures clé en matière de sécurité. En effet, régularité et redondance sont 2 mots à absolument associer lorsque vous devrez déterminer votre stratégie de sauvegarde.

Ces préconisations de base vous permettront notamment une restauration plus rapide en cas d’incident.

Quelles données ? sur quels supports ? Sauvegardes physique, cloud ou mixtes ? Autant de questions qui vous / nous permettront de déterminer la stratégie de sauvegarde la plus pertinente pour votre organisation.

3. Appliquez-vous régulièrement les mises à jour ?

Pourtant indispensables, les mises à jour sont trop souvent ignorées par les utilisateurs. Elle effet, les mises à jour que vous proposent vos systèmes d’exploitation ou logiciels sont porteuses de correctifs, et notamment en matière de sécurité.

Un poste pour lequel les mises à jour sont systématiquement ignorées, sera bien plus vulnérable qu’un autre (même à équipements équivalents) qui se verrait appliquer des mises à jour quand elles sont recommandées.

Pour éviter tout oubli ou négligence pensez à activer les fonctions de mises à jour automatiques !

4. Utilisez-vous un antivirus ?

Un antivirus (attention, lui aussi régulièrement mis à jour) est l’une des premières dispositions de sécurité mis en place sur les systèmes d’information.

Prenez, par contre, conseil auprès d’un prestataire qui saura vous aiguiller notamment quand il s’agira d’y adjoindre des options telles que le pare-feu, ou un filtrage WEB …

5. Avez-vous mis en place une politique de gestion des mots de passe ?

Inutile de rappeler que la sécurité de votre système d’information réside également dans la mise en place d’une politique de mot de passe. 1234 ou 0000 ne sont bien évidemment pas satisfaisants pour un usage professionnel ! Pour rappel, un mot de passe dit robuste doit comporter entre 8 et 12 caractères, être un mélange de caractères numériques, alphanumériques et spéciaux.

Ce mot de passe ne doit pas être commun à tous les services d’identification et doit être changé régulièrement.

Pour que chacun de vos collaborateurs adopte cette stratégie, privilégiez les coffres-forts à mot de passe : ces outils génèrent et sauvegardent des mots de passe robustes dans un fichier sécurisé. Vos collaborateurs n’auront alors qu’un seul mot de passe à retenir.

6. Sécurité de système d’information: Avez-vous activé un pare-feu ?

Le pare-feu protège vos systèmes d’information des attaques provenant d’Internet. Lorsqu’un pare-feu est installé et activé sur l’ensemble des postes d’un système d’information ce dernier bloque ou à minima ralenti la propagation de l’attaque aux autres matériels branchés au réseau.

7. Comment sécurisez-vous votre messagerie ?

Rappelons que la messagerie électronique est l’une des premières failles de sécurité des entreprises. L’utilisation d’un serveur de messagerie professionnel rendra vos installations moins vulnérables mais au-delà des paramètres physiques et des outils, la barrière de sécurité la plus fiable pour vos systèmes d’information réside dans la formation et la sensibilisation de vos utilisateurs quant à l’utilisation de leur messagerie électronique : vérification des l’expéditeurs, ne pas ouvrir tous les mails, ne surtout jamais ouvrir une pièce jointe douteuse …

8. Comment avez-vous sécurisé les usages informatiques mobiles ?

La mobilité croissante de nos collaborateurs et le développement du télétravail doivent absolument être encadrés pour que la sécurité de votre système d’information soit garantie. Une liste de bonnes pratiques pourra permettre à vos collaborateurs concernés d’allier mobilité et sécurité : les données sont-elles sauvegardées ailleurs que sur le poste mobile ? Les équipements mobiles sont-ils équipés de filtre-écran ? ou encore interdiction d’utiliser des clés USB publicitaires ; limiter au maximum le volume des données enregistrées sur le poste …

9. Avez-vous informé, sensibilisé vos collaborateurs ?

Nous l’avons déjà évoqué mais la sensibilisation de vos collaborateurs revient à les engager à vos côtés dans cette quête de sécurité.

La charte informatique peut par exemple être expliquée, argumentée ou illustrée d’exemples concrets au lieu d’être simplement distribuée contre signature.

La responsabilisation et la sensibilisation régulière de vos utilisateurs permettra d’inculquer à votre équipe la culture de « l’hygiène informatique ».

10. Sécurité de système d’information: saurez-vous réagir en cas de cyber attaque ?

Les règles élémentaires de sécurité de votre système d’informations ont notamment, pour objectifs de lutter contre les cyberattaques. Mais savoir lutter contre les cyber-attaques revient également à savoir régir face à ces virus. Le premier réflexe à avoir lors de la détection d’une telle attaque est de déconnecter le poste infecté ou le système d’information d’internet et d’en informer sans délai le service informatique interne ou externe.

Ces quelques bonnes pratiques recensent l’ensemble des règles sécuritaires élémentaires pour assurer à votre système d’information sécurité et stabilité.

Sécurité de système d’information: Les bonnes questions à se poser

A la recherche de solutions ou utilitaires ? N’hésitez pas à nous contacterL’utilisation d’un serveur de messagerie professionnel rendra vos installations moins vulnérables mais au-delà des paramètres physiques et des outils, la barrière de sécurité la plus fiable pour vos systèmes d’information réside dans la formation et la sensibilisation de vos utilisateurs quant à l’utilisation de leur messagerie électronique : vérification des l’expéditeurs, ne pas ouvrir tous les mails, ne surtout jamais ouvrir une pièce jointe douteuse … 8. Comment avez-vous sécurisé les usages informatiques mobiles ? La mobilité croissante de nos collaborateurs et le développement du télétravail doivent absolument être encadrés pour que la sécurité de votre système d’information soit garantie. Une liste de bonnes pratiques pourra permettre à vos collaborateurs concernés d’allier mobilité et sécurité : les données sont-elles sauvegardées ailleurs que sur le poste mobile ? Les équipements mobiles sont-ils équipés de filtre-écran ? ou encore interdiction d’utiliser des clés USB publicitaires ; limiter au maximum le volume des données enregistrées sur le poste … 9. Avez-vous informé, sensibilisé vos collaborateurs ? Nous l’avons déjà évoqué mais la sensibilisation de vos collaborateurs revient à les engager à vos côtés dans cette quête de sécurité. La charte informatique peut par exemple être expliquée, argumentée ou illustrée d’exemples concrets au lieu d’être simplement distribuée contre signature. La responsabilisation et la sensibilisation régulière de vos utilisateurs permettra d’inculquer à votre équipe la culture de « l’hygiène informatique ». 10. Savez vous réagir en cas de cyber attaque ? Les règles élémentaires de sécurité de votre système d’informations ont notamment, pour objectifs de lutter contre les cyberattaques. Mais savoir lutter contre les cyber-attaques revient également à savoir régir face à ces virus. Le premier réflexe à avoir lors de la détection d’une telle attaque est de déconnecter le poste infecté ou le système d’information d’internet et d’en informer sans délai le service informatique interne ou externe. Ces quelques bonnes pratiques recensent l’ensemble des règles sécuritaires élémentaires pour assurer à votre système d’information sécurité et stabilité. A la recherche de solutions ou utilitaires ? N’hésitez pas à nous contacter.