Protéger son entreprise

Prévenir les risques

La meilleure façon de sécuriser son entreprise est d’installer un processus de gestion des risques. Il permet d’identifier des mesures de protection adaptées à la situation et aux valeurs de l’entreprise, tout en protégeant les actifs les plus importants. Voir: “pourquoi gérer les risques ?” et “pourquoi mutualiser l’analyse des risques ?

Le risque peut se définir par le calcul suivant : risque = vulnérabilité * menace * impact. Il est composé d’un facteur ‘probabilité’ (provenant de la menace) et d’un facteur ‘dégât’ (provenant de la valeur de l’actif compromis, respectivement de la valeur du dommage indirect subit). La vulnérabilité utilisée dans cette fonction prend compte des mesures de sécurité mise en place.

Il est pratiquement impossible de prévenir un risque en voulant agir sur les menaces existantes. Par contre, on peut agir sur le risque en réduisant les facteurs ‘vulnérabilité’ et ‘impact’ :

  • Réduire le facteur ‘vulnérabilité’, par la mise en place de mesures de sécurité ciblées
  • Réduire l’impact potentiel, par la mise en place de systèmes de redondances des données (n’a cependant aucun effet sur la confidentialité des données)

Un organisme qui s’initie au domaine de la sécurité de l’information peut choisir de mettre en place des bonnes pratiques, sans nécessairement déployer des processus spécifiques à la gestion des risques.

Les “menaces” désignent l’ensemble des éléments pouvant compromettre les ressources informatiques d’une organisation.

Les “vulnérabilités” expriment toutes les faiblesses humaines et techniques qui pourraient être exploitées par des menaces, dans le but de les compromettre.

L’“impact” est le résultat de l’exploitation d’une vulnérabilité par une menace, donc le dommage causé.

La combinaison des ces trois facteurs fonde le “risque”.

Protéger les données

Les processus métier tout comme les données sont appelés des actifs primaires (Classification des actifs; gestion des risques). La première priorité pour une mise en sécurité au niveau informatique concerne la protection de ces actifs primaires.

Toute entité a un intérêt particulier à protéger ses données d’entreprise, notamment lorsqu’il s’agit d’informations relatives à la réalisation du plan économique de celle-ci. Par ailleurs, les exigences légales ou encore les attentes clients représentent également des raisons qui amènent une entreprise à protéger des données spécifiques.

Différents types de données qui doivent être protégées :

  • la propriété intellectuelle
  • les secrets de production
  • les données clients
  • les données des processus, comme notamment les données logistiques, comptables, fournisseurs,…

La perte de données a généralement des conséquences néfastes pour toute entité.

Classification des données

Avant de mettre en place des mesures de protection l’entité doit procéder à une classification , au moins sommaire, des données qu’elle traite. Cette classification est importante pour prendre conscience de la juste valeur (confidentialité, intégrité et disponibilité) des données. Dépendant de la valeur des données, respectivement de l’impact attendu en cas de compromission des données, l’entité va pouvoir décider de l’investissement à consacrer à la sécurité des données.

Remarque : le schéma de classification appliqué aux informations doit aussi être appliqué aux contenants, c’est-à-dire aux conteneurs, aux emplacements physiques et aux supports contenant des informations. Le terme contenant est considéré au sens large.

Politique de sécurité PME:

La sauvegarde des données

Toutes les données qui ont été identifiées au sein d’une entreprise comme ayant un besoin de disponibilité doivent être sauvegardées. Par la création d’une copie de sauvegarde, la perte ou destruction des données primaires peut plus facilement être compensée. La sauvegarde devient cependant plus difficile, lorsque les données à sauvegarder revêtent un caractère confidentiel ou d’intégrité.

Les données ayant un besoin de confidentialité doivent être protégées contre tout accès illicite, indépendamment du support sur lequel ils se trouvent et indépendamment de l’endroit où ils sont stockés.

Les données ayant un grand besoin d’intégrité doivent être protégées contre toute modification par des personnes non autorisées. Ceci vaut aussi pour les sauvegardes. De plus, en ce qui concerne les originaux papier digitalisés, il faut nécessairement respecter les conditions d’archivage électronique.

Politique de sécurité PME ::

La destruction des données

Les données dont l’entreprise n’a plus besoin, respectivement celles qui doivent être supprimées, doivent être détruites de façon à ce que leur critère de confidentialité ne soit pas violé.

Une destruction définitive et sécurisée des données doit respecter certains critères de sécurité. Il existe des méthodes qui permettent la réutilisation des disques, ou même de l’ordinateur.

Pour des données strictement confidentielles, ils est fortement conseillé de détruire les supports de données, y inclus les disques durs, par broyeur ou démagnétiseur.

Politique de sécurité PME:

La transmission de données

La technologie utilisée pour transmettre des données doit notamment respecter les critères de confidentialité et d’intégrité des données (plus rarement ceux relatifs à la disponibilité).

Il est fortement recommandé d’utiliser des moyens cryptographiques pour protéger les données à transmettre contre la perte de confidentialité et d’intégrité.

Toute communication via l’Internet (téléchargement, FTP) doit donc être chiffrée, au moins via SSL respectivement via un réseau respectivement via un réseau VPN. L’envoi en clair (càd non chiffré) d’informations confidentielles via courrier électronique est strictement à éviter.

Politique de sécurité PME ::

SOS:

Le transport de données

La technologie utilisée pour transporter des données doit respecter les besoins de confidentialité, d’intégrité et de disponibilité des données (surtout pour des originaux).

Il est fortement recommandé d’utiliser des moyens cryptographies, et de sécurité physique pour protéger les données transportées contre la perte de confidentialité, d’intégrité et de disponibilité.

Politique de sécurité PME ::

Protéger une machine

Les machines utilisées pour réaliser les processus métiers et pour traiter les informations de l’organisme sont appelés actifs secondaires ou encore actifs de support ( voir : classification des actifs ; analyse des risques). Afin de pouvoir protéger les processus métiers, respectivement les informations, il faut protéger les actifs de supports qui sont utilisés pour les traiter.

En effet, la compromission au niveau d’un ordinateur ou d’un serveur peut évidemment entraîner la perte de confidentialité, de disponibilité et de l’intégrité des processus ou informations qui y sont traités.

Il faut donc mettre en place, au niveau des actifs secondaires, des mesures de traitement des risques afin de prévenir des impacts néfastes.

Les ordinateurs

La plupart des organisations dédient au moins un ordinateur de bureau à la gestion de l’organisme. Cet ordinateur doit être protégé contre les menaces les plus répandues. Il est fortement conseillé de mettre en place les mesures de sécurité de base

Suivant la criticité des données traitées, respectivement des processus métiers supportés, il faudra bien entendu élargir le niveau des mesures de protections.

Politique de sécurité pour PME ::

Les ordinateurs portables

Certaines organismes utilisent aussi des ordinateurs portables comme actifs de support pour les processus métier ou pour traiter certains types de données. Ces ordinateurs portables sont souvent sortis de l’enceinte sécurisée d’un bureau et emmenés en des moyens de transports privés ou publics ou encore utilisés dans des lieux privés ou publics. Souvent ils sont connectés à des réseaux étrangers à l’organisme. Les menaces mettant en cause les ordinateurs portables sont nombreuses et toute organisme voulant utiliser des ordinateurs portables doit au moins respecter les mesures de sécurité basiques.

Politique de sécurité pour PME ::

Les serveurs de fichiers

Certains organismes utilisent des serveurs de fichiers pour faciliter la coopération entre les différents agents respectivement pour augmenter le niveau de résilience des données stockées. Tout comme les autres machines de l’organisme, les serveurs de fichiers sont des actifs de support pour les processus métier. Mais ils représentent souvent le point de défaillance unique d’ une organisation à petite ou moyenne taille.

Les besoins en terme de confidentialité, de disponibilité et d’intégrité des serveurs de fichiers sont de ce fait plus grands que pour les autres actifs de support de l’organisme. Il est donc essentiel d’appliquer des mesures de sécurité basiques sur ce type de machines.

Politique de sécurité pour PME ::

Les serveurs mail

Les services d’un serveur mail sont connectés en permanence à l’Internet. La probabilité d’être exposé à une menace est grande et l’exploitation de nouvelles vulnérabilités souvent aisée. Sécuriser le serveur mail requiert une certaine attention, parfois même un effort de veille de la part de l’organisme. En effet, l’e-mail est souvent le premier moyen de communication au sein d’une entreprise (intégrité) et contient bien souvent des fichiers au contenu sensible (confidentialité).

Les organismes de petite taille disposent rarement de serveurs mail. Leur gestion, notamment leur protection, est trop complexe pour leur utilisation au sein de petites structures.

Politique de sécurité pour PME ::

Le serveur web

Les serveurs web ne contiennent pas toujours des données confidentielles, de ce fait il sont moins touchés par les problèmes de confidentialité. En revanche ils sont supposés fonctionner en permanence (disponibilité) et doivent être résistants aux attaques potentielles de défiguration ou d’infection. Il est pour cela recommandé de suivre les recommandations pour la sécurisation des serveurs web.

Protéger le réseau

Le réseau est un actif secondaire supportant les processus métiers de l’organisme, et transmettant les informations traitées au sein de cet organisme. Son rôle est essentiel, car sa compromission entraîne souvent celle des machines connectées.

Le réseau local (fixe)

La plupart des organismes connectent leur réseau, respectivement une partie du réseau, à Internet. Ce qui l’expose à une multitude de menaces potentielles. Mais le réseau peut également être mis en péril par des menaces venant de l’intérieur de l’organisme.

L’installation d’un pare-feu (firewall) constitue le cas échéant une protection essentielle pour le réseau car il permet de cloisonner certaines parties du réseau.

Respectez des mesures de sécurité de base pour sécuriser votre réseau local.

Politique de sécurité pour PME ::

Le réseau wifi

De nombreux organismes mettent en place un réseau wifi : il offre certains avantages mais a comme inconvénient majeur que les ondes wifi se propagent à travers l’air et sont généralement aussi accessibles à l’extérieur de l’organisme.

Il est donc important de mettre en place des mesures de sécurité basiques pour réseaux wifi.

Politique de sécurité pour PME ::

Télétravail

Permettre un accès sûr depuis l’extérieur de l’organisation peut se faire de différentes manières en fonction des besoins des employés.

Un accès au serveur de mails est souvent suffisant et peut être facile à mettre en place.

Pour des accès plus importants, il est fortement recommandé de mettre en place un accès par VPN.

Politique de sécurité pour PME ::

Formation et sensibilisation

La formation et la sensibilisation à la sécurité des systèmes d’information et de communication constitue un élément essentiel pour que celle-ci devienne une réalité concrète au sein de notre société.

Politique de sécurité pour PME ::

Mesures :

S´organiser

La sécurité d’une entreprise dépend en grande partie des processus métier de celle-ci. Souvent il sera très difficile d’appliquer des règles de sécurité à un processus, qui n’aura pas été pensé pour être sûr. De ce fait il est plus facile, et donc moins cher, de prendre en compte la sécurité depuis la création de l’organisation de la société.

Analysez les processus et essayez de changer ou éliminer ceux qui ne sont pas optimaux, comme par exemple ceux qui nécessiteraient un partage de mot de passe.

L’attribution de rôles spécifiques est ici primordial; l’octroi de responsabilités sur certains actifs, la désignation des personnes responsables de gérer les incidents et la mise en place d’une bonne communication en interne.

Politique de sécurité pour PME ::

Protection des locaux

La plupart des organismes disposent de leur propre local ou établissement pour héberger leurs bureaux, dépôts, archives et locaux informatiques. Ils  peuvent ainsi restreindre certains risques dus à des menaces d’origine environnementale, délibérée et accidentelle compromettant les besoins en confidentialité, intégrité ou disponibilité des actifs importants ou vitaux.

La mise en place de zones sécurisées, ainsi que la restriction d’accès à ces zones, et donc aux actifs s’y trouvant, réduit nettement le risque provenant de menaces délibérées ou accidentelles.

Les locaux hébergeant des actifs importants ou vitaux doivent également être protégés contre des menaces environnementales, comme notamment les incendies (PME : voir Incendie), les dégâts des eaux, la pollution, la poussière, la corrosion, le gel, les dégâts liés à l’électricité ou des sinistres majeurs.

Voir le chapitre consacré à la sécurité physique de l’organisme.

Accès physique

Plus un actif est important, plus l’accès physique à celui-ci doit être contrôlé. L’organisme disposera donc d’une zone “publique”, accessible aux clients, d’une zone interne, accessible uniquement aux employés ainsi que d’une ou de plusieurs zones sécurisées uniquement accessibles à des personnes autorisées. Les actifs, selon leur importance, seront déployés uniquement dans les zones correspondant à leur degré de protection. Les mesures de sécurité mises en place doivent prévenir des intrusions physiques.

Ainsi un serveur de fichiers, contenant des documents critiques de l’organisme, ne doit pas se trouver dans un local ouvert d’accès. La probabilité d’une manipulation malintentionnée ou accidentelle serait bien trop grande. (PME : voir Vol caractérisé et Pénétration dans les locaux).

Communications and social networks

Les réseaux sociaux font désormais partie de notre vie quotidienne. Pour les entreprises et les organisations, ils présentent des opportunités inédites. Beaucoup en ont déjà fait un levier de communication et de marketing efficace.

Si les avantages sont nombreux, il ne faut pas pour autant perdre de vue les risques , et notamment :

  • risque de perte de réputation
  • risque d’infection par des virus ou code malveillant circulant sur les réseaux sociaux
  • risque de perte ou de divulgation de données
  • risque de phishing, scam ou forme d’ingénierie sociale au travers des réseaux sociaux.

Pour prévenir des mesures simples peuvent être mises en place.

Les voyages de service

Les données de l’entreprise (données commerciaux ou stratégiques, résultats de recherche, savoir-faire…) doivent aussi être protégés lors des éventuels déplacements ou voyages de service.

Lors que les ordinateurs portables, les supports amovibles ou supports papiers contenant ces types de données quittent l’enceinte sécurisée de l’entreprise, des précautions spécifiques doivent être prises.

Table of Content