INFONET CONSULTINGSécuriser son système d’information d’entreprise : 8 précautions

Comment sécuriser son système d’information ?

Les conséquences d’une mauvaise sécurisation d’un système d’information peuvent se révéler considérables : perte de chiffre d’affaires pour cause de dysfonctionnement du réseau d’entreprise, d’arrêt de production ou de piratage, pertes de données sensibles, sanctions de la CNIL… Or, pour compromettre la sécurité informatique des entreprises, les pirates s’avèrent particulièrement inspirés. En effet, ils exploitent les moindres failles de sécurité existantes. Avec l’ensemble de ces paramètres, on comprend pourquoi il importe pour toute entreprise d’étudier sérieusement comment sécuriser son système d’information. Vous souhaitez connaître la démarche à suivre pour renforcer la sécurité de votre SI d’entreprise à son maximum ? Voici 8 recommandations essentielles à mettre en œuvre.

Mettre en place des protocoles de prévention et d’urgence

Toute entreprise, aujourd’hui, doit élaborer des plans pour se prémunir des cyber-attaques et pouvoir réagir si une attaque devait être perpétrée. Cette préparation est cruciale pour la pérennité de l’entreprise. En pratique, il faut construire des plans de prévention contre les tentatives d’intrusion, les vols ou pertes de données informatiques. Et des plans de réaction en cas d’attaque. Ces plans nécessitent une étroite collaboration entre les différents services de l’entreprise et les responsables de l’informatique et de la sécurité, sous l’autorité du conseil d’administration.

Après étude de la vulnérabilité du système d’information de l’entreprise (audit de sécurité mené par un expert en sécurité informatique), une charte informatique doit être rédigée. Ce document, consultable par les salariés et les agents, regroupe les règles relatives à la cyber sécurité applicables pour l’entreprise concernée, tant depuis la structure de l’entreprise elle-même que pour les collaborateurs en télétravail. Cette charte permet à toute organisation travaillant en réseau de prévenir des problèmes de sécurité informatique.

Si toutefois, l’entreprise devait malgré tout être confrontée à une cyberattaque, l’entreprise doit pouvoir réagir rapidement. La mise en place d’un plan et de protocoles d’action facilitera et accélérera la réponse de l’entreprise aux cyberattaques, et contribuera à limiter ses dommages et ses coûts.

Renforcer la qualité des authentifications

Une fois, les plans de prévention et d’urgence mis en place, il importe également de renforcer la sécurité du système informatique et du système d’information. En effet, les cybercriminels cherchent à entrer dans autant de postes informatiques que possible pour préparer leur attaque. Les entreprises ont donc tout intérêt à mettre en place les principes de sécurité de base préconisés par l’agence nationale de la sécurité des systèmes d’information (ANSSI) : restreindre les privilèges et utiliser un mode « Zero Trust ».

En mode « Zero Trust », tous les utilisateurs et tous les appareils doivent être authentifiés et validés pour qu'ils puissent accéder aux réseaux, aux applications et aux données. Aucune connexion ne s’avère possible sans ces préalables.

Il n’existe pas de solution unique pour mettre en place un environnement sécurisé. Mais quelques éléments sont incontournables, au nombre desquels on compte l’authentification multi-facteur (MFA).

Celle-ci se révèle un préalable indispensable dans toute politique de sécurité informatique. L’authentification multi-facteur permet en effet de renforcer la sécurité des accès (réseaux, applications ou bases de données informatiques). Elle demande aux utilisateurs de prouver leur identité et de fournir des informations supplémentaires de vérification (facteurs d’authentification).

À noter : la connexion par identifiant et mot de passe s’avère un préalable minimum pour pouvoir accéder à un poste de travail informatique, donc à des dossiers et à des fichiers. Ce mot de passe doit être suffisamment fort. C’est-à-dire qu’il doit être individuel, secret et complexe (difficile à deviner). Le responsable informatique (ou la DSI dans les PME, ETI ou grands groupes) doit donc imposer une politique de gestion des mots de passe stricte aux utilisateurs. Cela passe notamment par la demande d’un renouvellement régulier des mots de passe.

Sécuriser le système d’information grâce à des solutions techniques adaptées

Un système d’information doit d’abord être sécurisé vis-à-vis des attaques extérieures. Une première protection est assurée à l’aide de dispositifs de sécurité spécifiques : liste de contrôle d’accès, routeurs filtrants, système anti-intrusion, pare-feu (aussi appelé Firewall)….

Par ailleurs, les responsables informatiques doivent mettre en place une veille constante et prévoir des mises à jour sur le serveur et sur les postes des salariés. C’est une condition essentielle pour assurer une bonne protection contre les virus et les logiciels espions.

Pour les collaborateurs nomades ou en télétravail, il faut privilégier les solutions VPN (virtual private network). Elles permettent d’accéder à distance au système d’information de l’entreprise sans porter atteinte à la sécurité informatique, en créant un tunnel sécurisé.

De même, une protection des réseaux sans fil par utilisation de clés de chiffrement ou contrôle des adresses physiques des postes autorisés s'impose.

Il importe aussi de sécuriser les accès internet aux outils d’administration par des mesures de sécurité performantes : utilisation de protocoles HTTPS, SSL/TLS, IPsec…

Renforcer la sécurité physique de son système d’information

Mais si le système d’information doit être protégé en limitant les droits d’accès sur les équipements eux-mêmes, les réseaux, le web…, il convient aussi de ne pas négliger tout simplement la sécurisation des accès aux locaux sensibles et aux postes de travail :

• L’accès aux locaux sensibles (salles qui abritent les serveurs informatiques et le réseau) doit ainsi être réservé aux seules personnes dûment habilitées. Ces locaux doivent faire l’objet d’une protection renforcée : portes fermées à clé, accès par badge, digicode, vérification des habilitations, gardiennage...

• Les postes de tous les salariés et agents doivent se verrouiller automatiquement au-delà d’une période d’inactivité de dix minutes maximum. Les utilisateurs doivent, par ailleurs, prendre l’habitude de verrouiller leur poste de travail informatique dès qu’ils s’absentent de leur bureau.

Protéger son système d’information au niveau interne

Il s’agit ici de protéger les postes informatiques des administrateurs et les réseaux internes de l’entreprise. Cela se fait grâce à la gestion des privilèges, et grâce à des outils techniques spécifiques (bastion, système SIEM...).

La mise à jour en continu des logiciels et des systèmes de sécurité est le gage d’une bonne protection de l’entreprise, tout comme l’installation d’un antivirus fiable.

Anticiper une potentielle faille de sécurité de son système d’information

Malgré toutes les protections, des failles peuvent exister au sein du système d’information de l’entreprise. Il faut donc prévoir un plan de continuité d’activité (PCA) ou un plan de reprise d’activité (PRA). Ces plans ont pour but d’assurer la survie de l'entreprise en cas d’attaque massive de son système informatique.

Parmi les mesures les plus efficientes pour redémarrer l'activité le plus rapidement possible avec le minimum de perte de données, l’entreprise doit prendre soin de réaliser régulièrement des sauvegardes de ses données (sauvegardes totales, incrémentielles ou différentielles).

Le stockage des sauvegardes sur un site extérieur se révèle notamment une utile précaution. Ces sauvegardes extérieures doivent toutefois recevoir le même niveau de sécurité que celles stockées sur les serveurs d’exploitation.

Sensibiliser les collaborateurs aux risques du système d’information et à ses conséquences

Vous avez établi une charte informatique de qualité ? Vous avez réussi à sécuriser les accès aux locaux, aux équipements avec les outils recommandés, et en interne avec des logiciels régulièrement mis à jour ? C’est bien. Toutefois, votre système d’information reste toujours très vulnérable. Pourquoi ? Car la principale faille en matière de cybersécurité provient de l’erreur humaine.

Afin d’éviter donc les principales menaces informatiques (risques de phishing, de ransomware, de malware…), une sensibilisation régulière des utilisateurs du système d’information s'impose concernant les risques liés à l’utilisation d’Internet et des messageries. Cette sensibilisation peut prendre la forme de formations, transmission de fiches pratiques, e-mails tests.

Comment sécuriser son système d’information efficacement ? En confiant le pilotage de cette tâche à un professionnel

Vous vous demandez par où commencer pour sécuriser votre système d’information, voire d’une manière plus globale votre système informatique ? Rien de plus normal. Même s’il s’avère facile de savoir qu’il faut installer certaines solutions pour améliorer la sécurité informatique de son entreprise, il est souvent difficile de savoir quel outil sera le plus efficace. En effet, chaque entreprise se révèle unique. Elle requiert donc des protections adaptées à son secteur d’activité, à ses équipements et à son mode de fonctionnement.

Pour permettre à votre société de prendre toutes les mesures qui s’imposent pour se protéger contre les nombreuses menaces informatiques, il importe donc de confier cette sécurisation informatique à un professionnel. Un expert en sécurité informatique.

Vous êtes à la recherche d’un professionnel qui saura vous proposer une solution de sécurisation de système d’information sur mesure ? INFONET CONSULTING, cabinet de conseil en informatique sur Paris, se charge de vous adresser le technicien ou l’ingénieur sécurité qui saura s’adapter à votre activité, vos équipements et votre budget. Et saura mettre votre système d'information aux dernières normes de sécurité en vigueur.