Votre PME est-elle protégée ?

jeudi 28 novembre 2019, par Jean-Philippe Gaulier

Si vous lisez cet article, c’est que vous êtes connecté à Internet. Vous êtes patron d’une PME ? Vous connaissez un entrepreneur ? Vous travaillez dans une petite boîte ? Cet article est fait pour vous ! Pour les autres, ne partez pas tout de suite, l’information peut vous intéresser...

Si vous êtes pressé : Je veux évaluer mon entreprise

# Petit rappel

L’Agence Nationale de la Sécurité de Systèmes d’Information, ANSSI pour les intimes, a publié en janvier 2013 une première version d’un guide d’hygiène pour la cybersécurité. Ce guide avait pour but d’établir règles d’hygiène informatique les plus simples et élémentaires, transposition dans le monde numérique de règles de sécurité sanitaire. En choisissant de toiletter son guide en janvier 2017, l’Agence a fourni un gros travail pour mettre à la disposition du plus grand nombre les règles qu’elle considère comme essentielles, devant absolument être mises en place au sein d’un système d’information. Dit autrement, si vous avez des ordinateurs et que vous êtes connecté à Internet, vous devez vérifier que tout cela est déjà en place chez vous !

# Dans le dur

Pour ce faire, on nous invite à découvrir à travers 9 chapitres les 42 règles d’hygiène découpées en 61 points de contrôle. Voici un aperçu du contenu des thèmes abordés et un court descriptif pour rentrer dans le sujet :

• Sensibiliser et former

Les menaces évoluent tous les jours. Sans la participation des usagers du système d’information, il est vain d’espérer pouvoir contrer les menaces et les attaques. C’est pour cela qu’il est important que chaque utilisateur puisse recevoir régulièrement une sensibilisation à ce sujet. Par ailleurs, les administrateurs informatiques ayant un grand pouvoir, il est primordial qu’ils soient à jour dans leur connaissance technique...

• Connaître le système d’information

Comment se protéger lorsque l’on ne sait pas ce que l’on doit protéger ? C’est sous cet angle simple qu’on nous préconise de récolter des informations autour du réseau, des données sensibles ou encore des droits d’accès des utilisateurs.

• Authentifier et contrôler les accès

Les accès sont les portes d’entrées du système d’information, ils doivent être minutieusement contrôlés pour s’assurer qu’aucune personne non autorisée ne parvient à entrer. On s’intéressera donc aux technologies d’authentification, encore une fois aux droits des administrateurs et des utilisateurs.

• Sécuriser les postes

Le poste de travail est à l’utilisateur ce qu’est le marteau à celui qui veut planter un clou : un outil indispensable. Tellement indispensable que lorsqu’il n’est plus disponible, on se retrouve au chômage technique. Afin que cela n’arrive pas, il faut veiller à appliquer les mises à jour régulières

• Sécuriser le réseau

Le réseau est l’ossature du système d’information. Il requiert un soin particulier lors de sa construction et de la mise en place des briques technologiques qui le constituent car elles apporteront fonctionnalités et sécurité. Tout comme pour les postes de travail, les équipements qui constituent le réseau s’entretiennent. Les technologies évoluant, un soin constant doit être apporté à leur égard.

• Sécuriser l’administration

Un grand pouvoir impliquant de grandes responsabilités, le guide recommande la séparation des réseaux d’utilisation et d’administration, ainsi qu’une vigilance particulière de ceux-ci.

• Gérer le nomadisme

Avec l’arrivée généralisée des smartphones et de la 4G, la station de travail n’est plus statique. On la retrouve dans le train, l’avion, en rendez-vous client, à l’étranger... Cette avancée pour l’utilisateur induit une contrainte de sécurité. En effet, tous ces accès sont des portes d’entrée vers l’entreprise qu’il convient de surveiller et protéger.

• Maintenir à jour le système d’information

Le système d’information est vivant. Il évolue, reçoit des données, en distribue, fait face à des usages qui le font muter. Pour une bonne santé, il faut donc le maintenir en forme et s’assurer que son hygiène quotidienne est au top.

• Superviser, auditer, réagir

En cas d’incident, il est toujours plus simple d’avoir anticipé. En effet, chercher une aiguille dans une botte de foin est fastidieux, surtout lorsqu’elle n’existe pas. Autrement dit, il faut commencer par superviser, puis auditer régulièrement son système d’information afin de pouvoir réagir en cas d’attaque.

• Pour aller plus loin

Dans une optique d’optimisation, l’Agence recommande l’usage de produits qu’elle a audité ainsi que de réaliser une analyse de risque.

# Et alors ?

Ce guide s’adresse à des dirigeants, sa matière permet de définir ce que l’on devrait retrouver dans chaque entreprise. Si vous n’avez pas de spécialiste à disposition, nous vous proposons une assistance. Avec notre nouveau service d’évaluation, vous serez gratuitement où vous en êtes en moins de 3 minutes. Si ce test n’est pas un audit, il permettra néanmoins au plus grand nombre de prendre la température et de savoir les points sur lesquels travailler.

Alors pourquoi attendre ? La solution est à portée de clic !