Vous désirez sécuriser vos systèmes informatiques contre les attaques potentielles des cybercriminels ? Voici ce qu’il faut impérativement mettre en place quand on est une TPE ou une PME.
Dans les TPE et les PME, les systèmes informatiques sont gérés en interne ou en externe. En fonction de la situation, les points à vérifier ne seront pas les mêmes.
I Vous gérez votre sécurité informatique en interne
Si vous gérez vous-même votre sécurité, c’est à vous de mettre en place les outils et autres éléments nécessaires à la sécurité informatique de l’entreprise. Voici ce qu’il faut avoir mis en place a minima.
1. Sécuriser l’accès à votre réseau avec un Firewall et un Proxy
Vous devez avoir un Firewall pour contrôler les entrées de votre réseau et un Proxy pour contrôler les sorties. Le Firewall doit être un élément physique et non un logiciel. Il est plus efficace et les règles de sécurité plus importantes et fines. Le Proxy est obligatoire, lui aussi. Tous les flux sortants vont passer par lui. En cas d’attaque, le hacker entre par le firewall alors que votre réseau est paramétré pour sortir par le Proxy. S’il ne peut sortir, on minimise les risques de piratages. Cette machine a un autre avantage : cela augmente la rapidité de connexion au Net pour les salariés. Le Firewall et le Proxy sont, évidemment, mis à jour régulièrement. Ils doivent être convenablement paramétrés à leur installation. Si vous le souhaitez, nous pouvons vous accompagner.
2. Créer et gérer des profils utilisateurs
Les failles de sécurité sont pour 90 % le fait des utilisateurs. Un salarié ouvre le document attaché à un mail non vérifié, et c’est l’intrusion. Vous devez répertorier les profils d’utilisateurs et décider des droits d’accès pour ces « familles » d’utilisateurs. En général, on interdit les accès pour ensuite leur donner des droits au fur et à mesure (et non le contraire). Cette partie administrative est nécessaire.
3. Créer des systèmes d’alerte en cas d’intrusion
Pour être alerté des mouvements anormaux sur son réseau, on utilise des sondes IDS/IPS. Un hacker veut lire le fichier Excel d’une société. Il va tenter de l’atteindre en passant par un port informatique. Ce n’est pas le port utilisé par défaut utilisé pour accéder Excel. La sonde va envoyer une alerte de sécurité au responsable désigné en mentionnant l’intrusion. On peut alors agir.
4. Concevoir un plan de reprise d’activité intelligent
Pour reprendre une activité, il faut d’abord pouvoir récupérer le travail de ses salariés. Un plan de reprise débute par la mise en place de sauvegardes différenciées. On peut réaliser une sauvegarde totale toutes les semaines et tous les jours réaliser des sauvegardes incrémentielles (On sauvegarde ce qui est nouveau, mais pas la totalité des données). Pour définir le nombre de sauvegardes et leur type, on réfléchit au nombre de jours de travail qu’on peut perdre sans se mettre en difficulté. Si c’est 2 jours au maximum, on effectue une sauvegarde totale tous les deux jours.
II Protéger ses services informatiques avec un prestataire externe
Un prestataire informatique externe met en place et gère le système informatique d’une société. Il héberge les données de celle-ci, il assure les connexions entre le réseau informatique de la société et le serveur qu’il héberge. Sécurité des données, de ses serveurs, de son bâtiment, etc. : il faut s’assurer que le prestataire choisi respecte contractuellement les règles de sécurité minimales.
1. Un plan de reprise d’activité et une politique de sécurité obligatoire
L’entreprise doit s’être assurée que :
- Le prestataire a défini un plan de reprise d’activité (PRA). Le PRA est l’ensemble des procédures réfléchies en amont pour reconstruire et remettre en route un système d’information en cas d’incident. Il suppose la mise en place d’une politique de sauvegarde des données de l’entreprise. On choisira de préférence une société qui sauvegarde les informations sur 2 sites différents, et qui effectue des copies tout le temps en synchrone (un miroir). La copie prend le relais en cas de souci.
- Le prestataire a mis en place une Politique de Sécurité des Systèmes d’information (PSSI) et un Système de prévention des intrusions.
- Les locaux du prestataire, son personnel répondent aux exigences de sécurité que vous exigez. Attention, sur ce point, il n’y a pas de règlementation. Il faut choisir un prestataire qu’on estime fiable pour héberger les données de sa société (système de restriction) pour entrer dans la salle des serveurs, mots de passe et carte, un générateur si électricité coupée, un système d’incendie de qualité pour éviter les incendies comme chez OVH.
Le client doit effectuer une analyse du niveau de sécurité souhaité. Où sont les serveurs, les données sont-elles cryptées, possèdent-ils un Firewall, des sondes IDS/IPS ? Il est très difficile pour une TPE ou une PME de dire si son prestataire est de qualité ou pas. Bon nombre d’entre eux vendent des services très chers qui ne répondent pas forcément aux critères vitaux de sécurité informatique. Pour le savoir, il faut lire le contrat signé et surtout le comprendre notamment au niveau des obligations et responsabilités des parties. Une tierce partie peut être de bon conseil et permettre de construire un système de sécurité solide. Si vous le souhaitez, nous pouvons vous conseiller.
2. Un réseau VPN
Votre prestataire externe doit avoir mis en place un réseau virtuel privé entre les postes informatiques des salariés et les serveurs appelés VPN. Ce réseau virtuel est un tunnel sécurisé qui n’a pas d’accès sur Internet. Si ce n’est pas le cas, consultez-nous.
3. Une Politique de Sécurité des Systèmes d’Information pour votre entreprise
Votre prestataire doit vous avoir proposé de conceptualiser, vous aussi, une politique de sécurité des Systèmes d’information (PSSI) ainsi qu’un plan de reprise d’activité afin de définir les démarches à suivre et leur ordre de criticité en cas de pertes de données ou d’attaques.
4. Sécuriser et sauvegarder ses données : une obligation légale
Pour rappel, le dirigeant de la société se doit de sécuriser ses données et de les sauvegarder (Articles 83 et 84 du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees). Il est responsable administrativement et pénalement du manquement pour lui-même et son prestataire. Le montant de l’amende : jusqu’à 4 % du CA de sa société au niveau mondial.