Comment sécuriser son système informatique?

Publié le par Chief

A la suite du précédent article qui préconisait de mettre en place une politique de sécurité assez approfondie, voici un aricle tiré du "Nouveau Courrier" avec pas mal de conseil primaire à suivre et qui peuvent permettre de gagner du temps et surtout de la sécurité pour son système informatique. http://www.lenouveaucourrier.ccip.fr/article.asp?id=596

A bon entendeur, salut!

N’attendez pas d’être confronté à une défaillance de votre système d’information pour vous protéger. Si vous disposez de plusieurs postes ou d’une connexion Internet, contactez un prestataire informatique qui vous guidera dans vos choix (à moins que vous ne bénéficiiez des compétences nécessaires en interne). En général, ce dernier réalisera un audit s’articulant autour de deux axes critiques, l’analyse des besoins et la mise en place de la solution. Il vous proposera ensuite d’autres services, comme la formation des utilisateurs ou l’entretien du système.

Exploitez les ressources matérielles et logicielles à votre disposition

Première démarche, l’évaluation des besoins. "Une politique de sécurité ne se met pas en place en fonction du nombre de postes, mais du métier de l’entreprise, de la valeur des données qui circulent et de ce que représente l’outil informatique pour sa pérennité", souligne ainsi Joël Rivière, P-dg de Lexsi (laboratoire d’expertise en sécurité informatique). Cette étape cruciale constitue un véritable projet d’entreprise qui implique l’ensemble des salariés.

Elle consiste à répertorier les applications et les informations de la société, puis à les hiérarchiser afin de déterminer lesquelles doivent être sécurisées en priorité. Demandez-vous quelles données sont vitales pour votre pérennité, lesquelles vous pouvez vous permettre de perdre, et lesquelles nécessiteront des semaines, voire des mois avant d’être restaurées.

On peut comparer cette démarche à la sécurisation d’une maison : le niveau de protection choisi (serrures, volets, blindage, alarme, télésurveillance, etc.) dépend de ce qu’elle contient ! Inutile, par exemple, de surprotéger votre PC avec une panoplie d’outils, si ce dernier ne sert qu’à la saisie de données non stratégiques, et n’est même pas connecté à Internet.
- Adoptez une politique de mot de passe sûre
Bannissez les mots de passe du type "date de naissance" ou "nom-prénom"et ne les notez pas sur un post-it à proximité du poste de travail. Changez-les souvent !

- Achetez et surtout mettez à jour votre anti-virus
Installer un anti-virus c’est bien, à condition de le mettre à jour régulièrement, car les pirates débordent d’imagination et inventent chaque jour de nouvelles armes. D’après le CLUSIF, seulement 30 % des entreprises mettent à jour leur anti-virus quotidiennement, contre 36 % une fois par semaine, et 28 % une fois par mois ! L’opération n’est pas compliquée : il suffit de télécharger par Internet les mises à jour proposées par les éditeurs, et il est même possible d’automatiser cette procédure.

- Dotez-vous d’un pare-feu
Ce "gendarme du réseau" surveille et filtre les échanges de données entre votre système informatique et l’extérieur de votre entreprise. Il inspecte le contenu des mouvements, identifie émetteurs et destinataires et bloque les flux suspects. Les éditeurs proposent parfois des pare-feu intégrés à leur anti-virus (vérifiez les options du vôtre). Sachez que d’après le CLUSIF, seulement 35 % des entreprises de 10 à 199 salariés disposent d’un pare-feu (15 % seulement dans le BTP), contre 85 % en moyenne pour les entreprises de plus de 200 salariés.
Attention, le pare-feu ne protège pas de certaines attaques internes (vol, altération des données…).

- Faites un test d’intrusion
Il s’agit de "scanner" votre réseau, afin d’en déceler toutes les failles. Certaines sociétés fournissent ce type de prestation. Elles agissent un peu à la manière des hackers, en tentant de forcer votre système par tous les moyens possibles. Avant de leur confier le cœur de votre réseau, vous devez vérifier leur identité, leurs compétences et leur pérennité sur le marché. Demandez leur, par exemple, des références de clients, et téléphonez-leur.

- Construisez un VPN
Le VPN (réseau privé virtuel) permet à une communauté autorisée, dont les membres sont géographiquement éloignés, d’échanger des informations via Internet, mais de façon sécurisée et cryptée. Encore chère, cette technologie n’a pas encore fait sa véritable entrée dans les PME (27 % en moyenne, tout type d’entreprises confondues), et reste réservée aux entreprises échangeant des données confidentielles.

- Equipez-vous d’un onduleur
Les coupures de courant sont les ennemis des systèmes informatiques. Placé entre l’alimentation de votre ordinateur et la prise de courant, l’onduleur agit à la fois comme un transformateur et comme une batterie. Il protège ainsi les équipements informatiques des coupures de courant, de la foudre et des variations de tension.

- Protégez vous des catastrophes naturelles
Installez des systèmes de détection et de protection contre les incendies ou les dégâts des eaux.

Misez aussi sur le changement des comportements

S’équiper, c’est bien, mais ce n’est pas suffisant. Ne négligez pas la formation de vos salariés, ni la perversité de petites habitudes quotidiennes…

- Vérifiez la sécurité physique de votre entreprise, et limitez les accès aux équipements informatiques
Assurez-vous que personne ne puisse s’introduire dans vos locaux. Il suffit parfois de quelques minutes pour se connecter au réseau de l’entreprise, en prendre le contrôle et piller les bases de données. Instaurez un système d’accès par lecteur de badge ou par digicode, et revoyez vos serrures.

- Responsabilisez et formez vos salariés
Apprenez leur à sauvegarder leurs données et à les conserver hors de leur bureau dans un environnement protégé (vol, feu, etc.), à exploiter les outils de sécurité, à mettre à jour les logiciels de protection.
Cette éducation passe aussi par des petits gestes quotidiens, comme éteindre son poste dès que l’on s’absente, ne pas laisser un ordinateur portable en évidence sur son bureau, ne jamais insérer une disquette étrangère dans son PC, ne pas ouvrir la pièce jointe d’un mail suspect…

- Etablissez une charte utilisateurs à l’intention de vos employés
Elle décrit ce qui est permis ou interdit de faire sur le réseau (surfer indûment sur Internet, télécharger des fichiers, installer des logiciels personnels, mettre en ligne des documents compromettants…). Si un salarié ne respecte pas cette charte et met en péril la renommée de l’entreprise, le dirigeant (normalement responsable pénalement) peut se retrancher derrière elle pour se défendre devant les tribunaux.

- Instaurez un mécanisme d’enregistrement des fichiers simple mais fiable
Prenez l’habitude d’enregistrer vos données sous une appellation logique, qui vous permettra de les retrouver facilement, et sans vous tromper de version. Gare à la mésaventure comme dans cette société dont le patron avait pris l’habitude de faire de nombreuses simulations de budget sur Excel sans prendre le soin de les organiser. Les comptes présentés au conseil de surveillance n’étaient jamais les bons, car il était impossible de retrouver avec certitude le fichier adéquat !

- Sauvegardez régulièrement les serveurs et les postes de travail, et stockez ailleurs les données importantes et applications ailleurs
N’enregistrez pas vos données confidentielles uniquement sur PC ou sur serveur, mais dupliquez les sur un média amovible (disquette, CD-Rom, bande magnétique) et conservez-le en lieu sûr, éloigné des machines de sauvegarde. En cas d’incendie, si tous les supports de saisie et de sauvegarde sont situés au même endroit, l’ensemble des données disparaîtra en fumée.

Vous pouvez également faire appel à un prestataire externe. Il se chargera de récolter régulièrement vos données, et de les conserver dans un endroit secret. On parle d’externalisation du stockage. Cette option, très prisée par les grands comptes, commence à faire son apparition dans les PME. C’est grâce à cette solution d’externalisation que des centaines d’entreprises du World Trade Center ont pu récupérer leurs documents stratégiques, et poursuivre leur activité en temps quasi réel. Les solutions les plus complètes prévoient même, en cas de sinistre grave, de fournir à l’entreprise des locaux et du matériel, véritable copie conforme du système informatique endommagé.

- Développez un plan de secours en cas de sinistre
Et si, malgré toutes ces précautions, un incident survient quand même, définissez pour chacun les règles à suivre. Le plan de survie doit également prévoir l’ordre de redémarrage du matériel, ainsi qu’une liste des personnes à avertir, avec leur numéro de téléphone.
Enfin n’oubliez pas de contacter rapidement votre assureur, car les délais de déclaration sont courts. Si la défaillance que vous rencontrez résulte d’un acte de malveillance, saisissez l’autorité compétente pour déposer une plainte.

 

Publicité

Publié dans Administration

Pour être informé des derniers articles, inscrivez vous :
Commenter cet article