Imprimer cette page
Protéger les données et le système d’information

Protéger les données et le système d’information

Évaluer cet élément
(5 Votes)

Alors que les risques liés au numérique tendent à se développer, il y a urgence pour les entreprises à mettre en place des outils et processus de protection pour mieux les prévenir. Il convient alors, dans le cadre de cette démarche, de scanner l’ensemble de son système d’information pour mieux en identifier chaque faille potentielle, de mettre en place des solutions spécifiques, et enfin et surtout de sensibiliser et former les collaborateurs sur le sujet.

Les risques liés au numérique sont parmi les principaux auxquels sont actuellement confrontés les entreprises. Mais si la trajectoire des incidents et des coûts d’assurance peut parfois sembler incontrôlable, les entreprises peuvent encore faire la différence en renforçant leur protection face à ces risques.

« À chaque faille de sécurité correspond une solution technique de sécurisation, souligne William Sampietro, RSSI chez Docaposte. D’où la nécessité de bien identifier en premier lieu les risques numériques auxquels l’entreprise peut être confrontée ».

William SampietroConcernant les cyber risques notamment, la préparation est un élément crucial de la cyber résilience des entreprises. Cela implique de construire et de tester un plan solide pour l’éventualité d’une attaque, nécessitant une collaboration étroite entre les organisations, y compris les parties prenantes au niveau du conseil d’administration et les principaux responsables de l’informatique et de la sécurité.

La rapidité est essentielle après une cyberattaque, et la mise en place de ces protocoles accélérera les réponses des entreprises à toute attaque potentielle et contribuera à limiter les dommages et les coûts. Ceci est renforcé par les données de l’industrie qui montrent que les entreprises piratées avec une équipe de réponse aux incidents testée ont payé près de 40 % de moins en moyenne en 2020 que celles qui n’en ont pas.

Déployer des solutions technologiques à différents niveaux

L’objectif principal des cybercriminels consiste à infiltrer autant d’appareils que possible pour mettre en place la première étape de leur attaque. La façon dont ces appareils seront ensuite utilisés dépend d’autres facteurs : leur protection, l’état des « patchs » et quel type de menace l’utilisateur a ouvert via un lien ou une pièce jointe. Pour se défendre, les entreprises peuvent utiliser les principes de sécurité de base préconisés par l’ANSSI*, plus précisément en restreignant les privilèges et en utilisant un mode Zero Trust.

Ce dernier est le nom donné à un modèle de sécurité informatique qui exige que tous les utilisateurs et appareils (Devices), se trouvant à l’intérieur ou à l’extérieur du périmètre du réseau de l’organisation, soient authentifiés et validés à accéder aux réseaux, aux applications et aux données. Bien qu’il n’existe pas de solution unique pour établir un environnement Zero Trust au sein d’organisations qui ont toutes des besoins spécifiques, il existe des éléments incontournables dans tout dispositif Zero Trust, dont l’authentification multi-facteur (MFA).

Cette dernière est un maillon essentiel des politiques de sécurité. Elle permet de renforcer la sécurité des accès à un réseau, une application ou une base de données en imposant aux utilisateurs de prouver leur identité et de fournir des informations de vérification supplémentaires, appelées « facteurs d’authentification ».

Placer une « muraille » devant le système d’information

Afin d’empêcher les attaques venant de l’extérieur, il est également conseillé de mettre en place des solutions techniques Elena Poincetadaptées, telles que des « anti-DDos » ou des Firewalls.

« L’idéal consiste à déployer en amont du système d’information une plateforme intégrant un ensemble de composants qui permettront de détecter et d’anéantir les attaques, précise Éléna Poincet, cofondatrice et CEO de Tehtris. La Tehtris XDR Platform s’articule ainsi autour de nombreuses briques (EDR, EPP, MTD, DNS Firewall, Zero Trust Response… ».

« Les équipements de protection (IDS/IPS, Firewall, Waf ...) installés en entrée des systèmes d’information de l’entreprise permettent ainsi de fonctionner comme des filtres, précise pour sa part William Sampietro de Docaposte. Pour que les collaborateurs nomades ou en télétravail puissent continuer d’accéder au système d’information sans dégrader les niveaux de sécurité de l’entreprise, alors il faudra privilégier les solutions de type VPN ».

Une approche notamment adoptée par Esprit Barbecue, qui réalise 70 % de son chiffre d’affaires à partir de son site de vente en ligne. « Dans le cadre de notre activité en ligne, nous pouvons être confrontés à des risques d’attaques DDoS, témoigne Samuel Lefévère, responsable e-commerce d’Esprit Barbecue. Nous avons donc décidé de mettre en place des solutions techniques pour bannir les adresses IP qui nous paraissent suspectes. Environ 700 adresses IP sont ainsi bloquées en permanence ».

Protéger les couches internes du système d’information

Pour ne pas faire entrer de « hackers » malveillants dans son système d’information, il convient également de protéger le système d’information au niveau de ses couches internes.

« Ces hackers entrent généralement dans le système d’information via des emails malveillants, puis se déplacent en utilisant des failles de sécurité, ajoute William Sampietro. Il faut ici protéger autant que possible les postes administrateurs et les réseaux internes de l’entreprise par une gestion des privilèges et des événements de sécurité stricte, ainsi que par des moyens techniques maîtrisés (bastion, SIEM, ...). Les méthodes d’authentification et les annuaires doivent faire l’objet d’une attention particulière ».

Julien GonzalesD’une façon globale, la mise à jour permanente des logiciels et systèmes est une des clés de voûte de la sécurité. « Les logiciels antivirus sont alors une première solution indispensable à mettre en place, rappelle Julien Gonzalès, président de Z-Index. Chez Z-Index, nous avons par exemple déployé en la matière la solution de MailinBlack, ce qui nous permet notamment d’éviter les spams et les risques qui y sont associés ».

Pour éviter les intrusions externes, Esprit Barbecue a pour sa part mis un niveau de sécurité supplémentaire en limitant les accès externes à son serveur. « Nous avons fait le choix de bloquer l’accès externe à notre base de données et à notre serveur, poursuit Samuel Lefévère. Seul notre partenaire référent pour la technique et la sécurité de nos systèmes d’information et moi-même y avons accès ».

Renforcer la sécurité des postes utilisateurs

À ce niveau, la protection des systèmes d’information contre ces actes malveillants passe également par une gestion des mots de passe efficace.

« Trop de mots de passe font référence à une date de naissance ou une suite de chiffre de 0 à 9, déplore William Sampietro. Pour renforcer la gestion des mots de passe de leurs collaborateurs, les entreprises peuvent par exemple recourir à un coffre-fort aux mots de passe tel que celui proposé par KeePass, un outil Open Source reconnu sur le marché. Ces mesures doivent être ajoutées à la maîtrise du poste bureautique, tant sur la partie matérielle (restriction USB, ...) que sur la partie logicielle (restriction des droits, antivirus/Malware, ...) ».

Protéger les données sensibles avec des solutions de chiffrement

Pour protéger leurs documents et données sensibles, les entreprises peuvent également s’appuyer sur des outils de chiffrement.

« Le chiffrement est une méthode qui consiste à protéger ses documents en les rendant illisibles par toute personne n’ayant pas accès à une clé dite de déchiffrement, rappelle William Sampietro. Les outils en la matière (dont certains en Open Source comme PGP), assurent donc la sécurité des données qui tendent à circuler librement, pouvant amener à des fraudes et à des risques de fuites de données ».

Ainsi, le chiffrement peut être utile pour conserver des documents confidentiels sur un support qui pourrait être volé (clé USB, ordinateur portable, etc.) ou sur un ordinateur partagé avec des personnes qui ne doivent pas pouvoir y accéder. Cette méthode de protection est également efficace pour assurer la confidentialité des données stockées dans le Cloud ou sur un serveur partagé.

La signature électronique pour se prémunir contre l’usurpation d’identité

Parallèlement, pour éviter les risques de fraudes aux virements, aux prélèvements, aux paiements, aux fournisseurs ou encore au président, il est également important de mettre en place des processus de validation qui peuvent être par exemple renforcés par de la signature électronique, au coeur de certains processus de gestion financière.

La signature électronique entre dans un cadre juridique précis, via le règlement eIDAS au niveau européen transposé dans la loi française dans les articles 1366 et 1367 du Code civil. Elle permet l’identification de la personne qui signe, la preuve de consentement du signataire, et la garantie de l’intégrité du document (c’est-à-dire le fait qu’il n’ait pas été modifié après la signature).

Tous les documents numériques peuvent ainsi être signés électroniquement : devis et bons de commande, compromis de vente ou des actes d’acquisition, contrats de travail et leurs avenants, souscriptions d’adhésion à un contrat ou encore un prélèvement SEPA…

Multiplier les sauvegardes de données

Pour éviter la perte de données, il convient par ailleurs de réaliser régulièrement des sauvegardes de données et de mettre en place un Plan de continuité d’activité (PCA) ou un Plan de reprise d’activité (PRA). S’agissant de la sauvegarde des données, il est conseillé d’effectuer des sauvegardes fréquentes des données.

Il peut également être opportun de prévoir des sauvegardes incrémentales quotidiennes et des sauvegardes complètes à intervalles réguliers.

« Il est à ce sujet conseillé d’externaliser le stockage des sauvegardes sur un site extérieur et de protéger ces sauvegardes au même niveau de sécurité que celles stockées sur les serveurs d’exploitation, par exemple en les chiffrant », explique Julien Gonzalès. Dans le cadre de notre activité d’hébergeur, nous avons aussi certaines obligations en matière de protection et de sauvegarde des données qui nous sont confiées (notamment liées au RGPD). Nous avons donc mis en place un PCA et un PRA et trois niveaux de sauvegardes différents : une copie du jour même sur nos machines, une deuxième copie des données sur les 21 derniers jours sur un Datacenter dans une autre ville, et une troisième copie de ces données sur une machine miroir dans une troisième ville ».

Samuel LefevereUne triple sauvegarde est ainsi mise en place par Esprit Barbecue. « Nous avons une sauvegarde complète du site sur le disque dur de notre serveur, une autre chez OVH et une troisième chez Z-Index », précise ainsi Samuel Lefévère. Lorsque les sauvegardes sont transmises par le réseau, il convient de chiffrer le canal de transmission si celui-ci n’est pas interne à l’organisme.

Enfin, concernant la reprise et la continuité d’activité, il est recommandé de rédiger un plan de reprise et de continuité d’activité informatique, même sommaire, incluant la liste des intervenants. Il faut s’assurer que les utilisateurs, prestataires et sous-traitants sachent qui alerter en cas d’incident, tester régulièrement la restauration des sauvegardes et l’application du plan de continuité ou de reprise de l’activité.

Il est également conseillé d’utiliser un onduleur pour protéger le matériel servant aux traitements essentiels et de prévoir une redondance matérielle des solutions de stockage, par exemple au moyen d’une technologie RAID*.

Sensibiliser les collaborateurs

Le niveau de vigilance des salariés reste un point clé de la cybersécurité, et ce d’autant plus lorsqu’ils travaillent à domicile. Certes, les bonnes pratiques en la matière tendent à s’installer au sein des entreprises. En France, 87 % des employés interrogés dans le cadre d’un rapport SailPoint en 2021, font désormais régulièrement une pause pour s’interroger Olivier Senotsur la validité d’un e-mail avant de l’ouvrir, de peur qu’il s’agisse d’une tentative de « phishing ». 27 % d’entre eux ont par ailleurs reçu une formation sur le phishing au cours de l’année écoulée.

« Pour autant, 90 % des attaques sont basées sur une faille chaiseclavier ! (soit l'utilisateur - NDLR) », précise Olivier Senot, directeur Innovation et Numérique de confiance chez Docaposte.

Les Français ont donc encore une marge de progression sur ce sujet.

Limiter l’usage personnel des outils informatiques professionnels

Beaucoup continuent en effet à adopter un comportement risqué sur Internet. 42 % des employés français ont ainsi déclaré qu’ils utilisaient leur adresse électronique professionnelle à des fins personnelles, allant parfois même jusqu’à autoriser leurs enfants à s’en servir, ou à jouer en réseau avec. Une situation sans doute encore exacerbée avec l’accélération du télétravail. Face à ce constat un certain nombre d’organisations ont ainsi mis en place des processus pour sensibiliser les collaborateurs.

« Il peut par exemple s’agir de la rédaction d’une charte d’usage, du déploiement d’une « hygiène informatique et/ou de sensibiliser les collaborateurs sur ces risques, précise Julien Gonzalès. Une démarche qui passe par des formations sur, par exemple, l’importance des mots de passe complexes ou sur les contraintes à respecter en matière de protection des données. Si les formations sont à destination de tous, tout le monde ne dispose pas du même niveau de connaissance en la matière. Les entreprises ont donc tout intérêt à proposer du surmesure qui soit évolutif pour faire monter les collaborateurs en compétences et rester en phase avec les nouvelles formes d’attaques ».

Le contre-argument du coût élevé des formations et autres outils, pour renforcer la sécurité des systèmes d’information et des données, ne doit progressivement plus masquer le besoin de se doter d’un « pare-feu humain », complémentaire de la technologie. Cela est d’autant plus vrai lorsqu’il y a un « turnover » important au sein des sociétés et qu’il y a un besoin de régularité dans la formation.


Deveryware logoPARTENAIRE DU DOSSIER

Groupe DEVERYWARE

La cybercriminalité n’épargne aucune organisation et nécessite une approche transverse.

Le groupe Deveryware associe des expertises complémentaires et propose des solutions autour de la cyber-résilience : recherche de compromission, réponse à incident cyber, récupération et sécurisation des données et exercices de crise d’origine cyber pour prévoir et traiter le risque.

Pour en savoir plus : www.deveryware.com/marches/cybersecurite



Lu 8377 fois Dernière modification le mardi, 15 mars 2022 11:39
Anne Del Pozo

Elle collabore depuis près de 20 ans à différents magazines en qualité de journaliste.

Elle y traite de sujets articulés essentiellement autour de la finance, des flottes automobiles, du voyage et du tourisme d'affaires ou encore des ressources humaines. Anne del Pozo participe également à la rédaction de nombreux témoignages clients et de newsletters d'entreprise.