Informations clients, partenaires, financières, stratégiques, … Les données informatiques figurent aujourd’hui parmi les ressources les plus précieuses des entreprises. Mais c’est aussi l’un des plus gros risques. Que se passerait-il si elles venaient à être bloquées ? Altérées ? Ou dérobées par des hackers malveillants ? Les conséquences peuvent être désastreuses pour les entreprises. Outre une paralysie de l’activité, les attaques pirates engendrent des coûts énormes en termes de mesures correctives ou de frais de notification RGPD. Sans oublier l’atteinte à l’image de marque. D’où l’importance d’analyser les risques, de sécuriser ses données et de prévoir plusieurs solutions de sauvegarde en cas d’attaques cyber. C’est justement l’objectif de la sécurité des systèmes d’information (SSI).
La sécurité des systèmes d’information, entre prévention et sauvegarde
Définition SSI
La sécurité des systèmes d’information regroupe l’ensemble des stratégies visant à protéger l'intégrité des technologies de l’information (systèmes, réseaux et données).
L’enjeu est de taille, car les menaces sont extrêmement variées. Il y a d’abord des cyberattaques, comme les rançongiciels, le hameçonnage, les virus, … Mais pas seulement. Une simple panne, une mauvaise manipulation, un incendie ou une inondation peuvent causer des dommages considérables au Système Informatique. De même, le vol du matériel informatique fait perdre à l’entreprise des volumes de données considérables.
Pour éviter ces situations, les entreprises doivent mettre en place une stratégie claire pour la sécurité de leur système d’information. Ce qui suppose souvent des investissements lourds. Mais nécessaires pour réduire les risques en matière de sécurité et récupérer rapidement les données en cas d’attaques pirates.
Les critères de la sécurité informatique
La sécurité des systèmes d’information repose sur 3 critères essentiels :
- La confidentialité : seules les informations confidentielles peuvent être protégées. C’est-à-dire que la donnée n’est accessible qu’à une poignée de personnes autorisées.
- L’intégrité : dans le même esprit, seules les personnes autorisées peuvent modifier les données. Et surtout, les modifications doivent être effectuées selon un processus clairement défini. C’est ce qui garantit la fiabilité du SSI.
- La disponibilité : même si l’accès est restreint, les personnes autorisées doivent pouvoir accéder facilement aux informations dont elles ont besoin.
C’est à partir de ces 3 critères que vous pourrez implémenter la stratégie de sécurité des systèmes d’information.
5 astuces pour sécuriser son système d’information
La mise en place d’un système de management de la sécurité de l’information suppose une multitude d’actions. Combinées en ensemble, toutes ces actions permettent d’anticiper les risques et de faire face aux menaces.
Sécuriser les postes de travail
La sécurité du système d’information (SSI) commence par les postes de travail. Pour les protéger, il convient de mettre en place plusieurs mesures :
- Les mots de passe : les postes de travail informatiques doivent être accessibles uniquement par mot de passe. Mais attention, ces derniers doivent être individuels, difficiles à déchiffrer, secrets et actualisés régulièrement. Au-delà des postes de travail, les mots de passe sont aussi requis pour les fichiers regroupant des données sensibles.
- Des comptes utilisateurs nominatifs : que ce soit les postes de travail ou les applications, leur accès ne doit être possible qu’à travers des comptes utilisateurs nominatifs.
- Le verrouillage : en cas d’inactivité (10 minutes maximum), le poste de travail doit se verrouiller automatiquement.
- Le contrôle de l’usage des USB : cela concerne principalement les postes de travail regroupant des données sensibles. L’idée étant de limiter la copie des données.
Identifier les accès aux fichiers
Parmi les piliers de la sécurité des systèmes d’information, l’intégrité et la confidentialité imposent de définir une politique d’accès. Pour cela, il convient d’identifier le profil d’habilitation de chaque collaborateur.
À partir de ce profil, le responsable des systèmes d’information définit les données auxquelles le collaborateur peut accéder ou non. Par ailleurs, il est nécessaire d’analyser régulièrement les profils d’habilitation et leurs accès. Cela permet de vérifier que les droits d’accès sont cohérents avec les usages.
Au-delà des accès aux collaborateurs, le RSSI doit également vérifier les accès des partenaires ou sous-traitance. En cas d’accès accordé, une clause de confidentialité sera nécessaire.
Sécuriser le réseau local
Pour sécuriser le système d’information contre les attaques extérieures, le responsable SI doit mettre en oeuvre plusieurs dispositifs :
- Des dispositifs spécifiques : comme les routeurs filtrants, les pare-feu, les sondes anti intrusions, etc. Et ce, aussi bien au niveau des serveurs que des postes de travail.
- La messagerie électronique : la sécurité doit être renforcée pour éviter les emails frauduleux.
- Les connexions entre les sites : pour assurer la sécurité de ces connexions, il peut être judicieux de passer par des liaisons privées, des techniques de tunneling ou VPN
- Les réseaux sans fil : pour éviter les interceptions à distance, il est possible d’utiliser des clés de chiffrement, de contrôler les adresses, …
- Les authentifications : elles sont indispensables pour les accès à distance (comme les collaborateurs en télétravail ou en déplacement professionnel).
- Les accès par internet : plusieurs protocoles peuvent être utilisés pour renforcer la sécurité, comme IPsec, SSL/TLS ou encore HTTPS.
- L’accès physique : même si les menaces cyber se font le plus souvent à distance, il ne faut pas oublier de sécuriser l’accès physique aux locaux.
Anticiper le risque de perte ou de divulgation des données
Même avec les meilleures mesures de prévoyance pour garantir la sécurité des systèmes d’information, aucune entreprise n’est à l’abri d’une cyberattaque. Mais dans ce cas, il est possible d’en limiter les conséquences grâce à des mesures de sécurité et de sauvegarde adéquates. Ainsi, les données de l’organisation doivent être stockées sur des supports de sauvegarde situés dans un local différent des serveurs.
Sensibiliser les utilisateurs du système aux risques informatiques
90 % des failles de cybersécurité sont d’origine humaine. Il est donc plus que nécessaire de sensibiliser les collaborateurs à la sécurité des systèmes d’information. Ils doivent aussi connaître les réglementations en vigueur, comme le RGPD ou la loi informatique et liberté.
Pour ce faire, il est possible de proposer des formations, des notes de service, des fiches pratiques, sans oublier une charte informatique. Cette charte reprend alors les règles basiques quant à l'utilisation des bases de données, de la téléphonie, de la messagerie électronique ou encore d’internet.
Ces bonnes pratiques concernent toutes les organisations, aussi bien les entreprises privées que les administrations publiques. Cela dit, pour les organismes du secteur public, il convient de suivre précisément les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Quel que soit le secteur dans lequel vous souhaitez travailler, vous découvrirez comment sécuriser efficacement un système d’information avec la CyberUniversity. Rejoignez-nous !