Votre PME est-elle protégée ?
jeudi 28 novembre 2019, par Jean-Philippe Gaulier
Si vous lisez cet article, c’est que vous êtes connecté à Internet. Vous êtes patron d’une PME ? Vous connaissez un entrepreneur ? Vous travaillez dans une petite boîte ? Cet article est fait pour vous ! Pour les autres, ne partez pas tout de suite, l’information peut vous intéresser...
Si vous êtes pressé : Je veux évaluer mon entreprise
# Petit rappel
L’Agence Nationale de la Sécurité de Systèmes d’Information, ANSSI pour les intimes, a publié en janvier 2013 une première version d’un guide d’hygiène pour la cybersécurité. Ce guide avait pour but d’établir règles d’hygiène informatique les plus simples et élémentaires, transposition dans le monde numérique de règles de sécurité sanitaire. En choisissant de toiletter son guide en janvier 2017, l’Agence a fourni un gros travail pour mettre à la disposition du plus grand nombre les règles qu’elle considère comme essentielles, devant absolument être mises en place au sein d’un système d’information. Dit autrement, si vous avez des ordinateurs et que vous êtes connecté à Internet, vous devez vérifier que tout cela est déjà en place chez vous !
# Dans le dur
Pour ce faire, on nous invite à découvrir à travers 9 chapitres les 42 règles d’hygiène découpées en 61 points de contrôle. Voici un aperçu du contenu des thèmes abordés et un court descriptif pour rentrer dans le sujet :
- Sensibiliser et former
Les menaces évoluent tous les jours. Sans la participation des usagers du système d’information, il est vain d’espérer pouvoir contrer les menaces et les attaques. C’est pour cela qu’il est important que chaque utilisateur puisse recevoir régulièrement une sensibilisation à ce sujet. Par ailleurs, les administrateurs informatiques ayant un grand pouvoir, il est primordial qu’ils soient à jour dans leur connaissance technique...
- Connaître le système d’information
Comment se protéger lorsque l’on ne sait pas ce que l’on doit protéger ? C’est sous cet angle simple qu’on nous préconise de récolter des informations autour du réseau, des données sensibles ou encore des droits d’accès des utilisateurs.
- Authentifier et contrôler les accès
Les accès sont les portes d’entrées du système d’information, ils doivent être minutieusement contrôlés pour s’assurer qu’aucune personne non autorisée ne parvient à entrer. On s’intéressera donc aux technologies d’authentification, encore une fois aux droits des administrateurs et des utilisateurs.
- Sécuriser les postes
Le poste de travail est à l’utilisateur ce qu’est le marteau à celui qui veut planter un clou : un outil indispensable. Tellement indispensable que lorsqu’il n’est plus disponible, on se retrouve au chômage technique. Afin que cela n’arrive pas, il faut veiller à appliquer les mises à jour régulières
- Sécuriser le réseau
Le réseau est l’ossature du système d’information. Il requiert un soin particulier lors de sa construction et de la mise en place des briques technologiques qui le constituent car elles apporteront fonctionnalités et sécurité. Tout comme pour les postes de travail, les équipements qui constituent le réseau s’entretiennent. Les technologies évoluant, un soin constant doit être apporté à leur égard.
- Sécuriser l’administration
Un grand pouvoir impliquant de grandes responsabilités, le guide recommande la séparation des réseaux d’utilisation et d’administration, ainsi qu’une vigilance particulière de ceux-ci.
- Gérer le nomadisme
Avec l’arrivée généralisée des smartphones et de la 4G, la station de travail n’est plus statique. On la retrouve dans le train, l’avion, en rendez-vous client, à l’étranger... Cette avancée pour l’utilisateur induit une contrainte de sécurité. En effet, tous ces accès sont des portes d’entrée vers l’entreprise qu’il convient de surveiller et protéger.
- Maintenir à jour le système d’information
Le système d’information est vivant. Il évolue, reçoit des données, en distribue, fait face à des usages qui le font muter. Pour une bonne santé, il faut donc le maintenir en forme et s’assurer que son hygiène quotidienne est au top.
- Superviser, auditer, réagir
En cas d’incident, il est toujours plus simple d’avoir anticipé. En effet, chercher une aiguille dans une botte de foin est fastidieux, surtout lorsqu’elle n’existe pas. Autrement dit, il faut commencer par superviser, puis auditer régulièrement son système d’information afin de pouvoir réagir en cas d’attaque.
- Pour aller plus loin
Dans une optique d’optimisation, l’Agence recommande l’usage de produits qu’elle a audité ainsi que de réaliser une analyse de risque.
# Et alors ?
Ce guide s’adresse à des dirigeants, sa matière permet de définir ce que l’on devrait retrouver dans chaque entreprise. Si vous n’avez pas de spécialiste à disposition, nous vous proposons une assistance. Avec notre nouveau service d’évaluation, vous serez gratuitement où vous en êtes en moins de 3 minutes. Si ce test n’est pas un audit, il permettra néanmoins au plus grand nombre de prendre la température et de savoir les points sur lesquels travailler.
Alors pourquoi attendre ? La solution est à portée de clic !