Dans la foulée de l’article “Sécurisation des données informatiques de l’entreprise” publié hier, Damien Jacob expose les 9 mesures essentielles à mettre en oeuvre pour se protéger contre les cyber-attaques. Une série de bonnes pratiques et de bons réflexes permettent en effet de limiter sensiblement les risques, en multipliant les barrières et en réduisant les failles.

Voici les 9 points les plus importants.

1 – Sensibilisez et formez les collaborateurs: ceux-ci doivent connaître quelles sont les informations sensibles aux yeux de l’entreprise, comment transférer des informations de façon la plus sûre possible, comment communiquer de façon judicieuse (notamment sur les réseaux sociaux), comment se protéger des virus et des logiciels malveillants et comment choisir des mots de passe, comment repérer des sites web malveillants, quels sont les pièges d’ingénierie sociale les plus courants utilisés pour tenter d’obtenir un accès, et que faire s’ils constatent un problème.

Face aux failles de sécurité informatique, la meilleure manière de procéder est de responsabiliser le personnel.

Contrairement à des idées reçues, l’essentiel des fuites de sécurité informatique ne sont pas dues des défaillantes techniques mais plutôt humaines. La meilleure manière est de responsabiliser le personnel. Il est donc pertinent d’établir une charte de sécurité informatique et de la rappeler régulièrement aux collaborateurs.

2 – Sécurisez physiquement vos installations informatiques (protection physique, badges d’accès…). Rien ne sert de blinder virtuellement l’accès extérieur à son système si le cyber-criminel peut pénétrer plus facilement dans les locaux de l’entreprise et installer un logiciel sur un des PC connectés au réseau interne. Tenez à jour un inventaire des différents éléments de votre infrastructure informatique.

3 – Gérez les accès informatiques aux installations (fixes, Wi-Fi interne et à distance par VPN). Une politique précise doit être établie, définissant qui a accès à quoi. Les paramètres de sécurité sur les PC et terminaux mobiles ne doivent pas être librement modifiables par tout utilisateur. Par défaut, l’installation libre de logiciels et de périphériques ne doit pas être possible, en dehors d’une liste définie. Il faut également veiller à supprimer immédiatement les accès d’anciens collaborateurs, sous-traitants, stagiaires…

4 – Veillez aux connexions indirectes aux installations informatiques – via des clés USB mais aussi via les appareils mobiles. Si l’approche BYOD (bring your own device) peut être séduisante pour l’entreprise – qui évite ainsi de devoir investir en permettant à ses employés d’utiliser leur propre équipement -, elle doit être accompagnée de règles claires (ex.: mot de passe obligatoire) et de l’installation d’outils automatiques. Ces derniers scannent par exemple scannent tout appareil connecté au réseau interne et permettent la destruction à distance de données de l’entreprise qui y seraient stockées.

5 – Sécurisez les accès vers l’Internet. Un logiciel anti-virus est indispensable, mais doit être combiné avec un pare-feu (filtrage web entrant et sortant) et un système de détection de “maliciels” (malware). Par défaut, l’accès à certains sites et services peuvent être bloqués (ex.: sites peer-to-peer, sites proposant des logiciels piratés ou des solutions de contournement de systèmes de sécurité, sites de téléchargements de contenus illégaux ou protégés…).

Il est recommandé de recourir à des outils qui permettent de scanner automatiquement tout fichier téléchargé et tout script, et de repérer le phishing (ex.: l’outil détectera si la destination réelle diffère de l’adresse du lien affiché). Il est aussi vivement recommandé de disposer d’un outil horodatant et archivant l’adresse d’origine de tous les accès, tant internes qu’externes, aux réseaux. Cet outil doit être évidemment lui-même sécurisé indépendamment.

6 – Veillez aux mises à jour. Très régulièrement des failles de sécurité sont repérées. Il y a donc lieu de systématiquement mettre à jour son système informatique, au niveau tant des serveurs, des équipements réseaux (routeurs…), que des PC et des autres terminaux (smartphones, tablettes). Et cela vaut tant pour le système d’exploitation, les navigateurs web, les plug-ins de ces navigateurs que pour les logiciels de sécurité. Il faut évidemment ne télécharger les mises à jour qu’à partir de la source officielle des éditeurs et se méfier des liens reçus dans un e-mail.

7 – Etablissez une classification de vos données et protégez vos informations sensibles. Il faut éviter le travers de ne se focaliser que sur l’optimisation de la sécurité de ses installations informatiques. Cela ne doit être qu’une première barrière. La seconde doit être l’impossibilité de disposer en clair de vos données, qui doivent être le cœur à protéger. Différentes techniques de cryptage doivent être employées pour les données sensibles et être activées automatiquement (notamment sur les clés USB, smartphones et supports de sauvegarde/back-up internes et système d’archivage dans le cloud).

Tenez compte du fait que le secret de la correspondance n’est pas vraiment garanti en ligne. Il est en réalité plus sûr de transmettre un contrat d’affaire confidentiel par la poste, que par e-mail, et il faut éviter de le stocker dans des applications “cloud”. Ainsi, si vous devez transmettre un projet de brevet international à un juriste avant le dépôt officiel, mieux vaut privilégier l’off-line…

8 – Imposez à vos collaborateurs une politique de mots de passe sécurisés. 4 règles importantes en la matière

– le mot de passe doit être strictement personnel et non écrit

– le mot de passe doit être long (minimum 8 caractères) et complexe (pas un mot du dictionnaire, pas une date, mais une combinaison de lettres, de chiffres et de caractères spéciaux)

– s’il est humainement impossible de retenir un mot de passe différent pour chaque service, il faut au moins que le code diffère pour chaque type d’application, en distinguant activité professionnelle et privée (ex.: web banking, e-mail privé, e-mail professionnel, cloud, réseau social privé, réseau social d’entreprise…)

– le mot de passe doit changer au fil du temps (ex.: forcer une modification chaque trimestre pour l’accès au réseau interne).

9 – Archivez régulièrement et testez la fiabilité. Une bonne pratique consiste à sauvegarde de manière distincte, programmes d’un côté (via une image complète de l’ordinateur, prête à être réinstallée), données, à crypter, de l’autre. La politique de sauvegarde doit définir quelles données doivent être sauvegardées, pendant combien de temps, qui assure la copie, comment et à quel rythme, où le stockage s’effectue et qui en est responsable, qui teste régulièrement si les sauvegardes sont potentiellement récupérables et donc utilisables…

Un exemple de rythme peut être J-1, J-2, S-1, S-2 et M-1, M-2, en veillant par exemple qu’au moins un des jeux de sauvegardes (ex.: S-1) soit stocké dans un lieu physique différent de l’entreprise (coffre bancaire…).

Pour en savoir plus

La problématique de la sécurité informatique ne peut être complètement abordée en quelques lignes. Voici quelques ressources utiles pour vous informer de façon plus approfondie:

• le Centre Belge pour la cybercriminalité (BC-Centre) a édité un guide pratique téléchargeable en français depuis mai 2014
• un guide “sécurité informatique” est également disponible sur le site de l’AWT
• le portail français de la sécurité informatique et le dossier de l’ANSSI
• un dossier sur la fraude en ligne à l’attention des e-commerçants est consultable via ce lien.

Damien Jacob (Retis) est consultant indépendant, spécialisé notamment en e-commerce et sécurité.