Introduction

Les PME-PMI, les Collectivités, ou Associations employant du personnel prennent rarement le temps de formaliser une véritable stratégie de sécurité. Par manque de temps, par manque de moyens ou de ressources, elles pensent pouvoir faire l'économie de cette réflexion qui pourtant est indispensable en cas de crise informatique.

Quels sont les principaux risques à identifier ?

Une stratégie ou politique de sécurité doit servir à limiter un certain nombre de risques ou en cas de crise permettre de limiter au maximum les conséquences sur l'activité.

En fonction du risque les moyens à mettre en oeuvre pourront différer. Parmi les principaux risques ont peut identifier :

• Risques liés à la station de travail,
• Risques liés aux emails,
• Risques liés à un piratage interne ou externe,
• Risques liés à l'erreur de manipulation, ou à la falsification d'information.

Stratégie à adopter concernant les stations de travail des utilisateurs

Les stations de travail des utilisateurs sont des éléments trop souvent ignorés lors d'une réflexion sur la sécurité du Système d'Information. Cependant, c'est à partir de ces ordinateurs qu'ont lieu quasiment toutes les manipulations informatiques de l'entreprise. C'est pourquoi, il est nécessaire de formaliser une politique de sécurité des stations de travail et bien sûr de sensibiliser les utilisateurs en leur expliquant les tenants et les aboutissants de cette nouvelle politique.

Voici une liste de suggestions non exhautive simple à mettre en place et limitant les risques de sécurité :

• Chaque utilisateur travaille sans être administrateur de sa machine. Ainsi, si un programme tentait de s'installer à l'insu de l'utilisateur il ne pourrait pas le faire sans les droits idoines,
• Une liste des logiciels autorisés est réalisée puis diffusée à tous les utilisateurs. Ainsi pas de risque d'avoir sur son parc des logiciels piratés, en cas de non respect de cette consigne, la responsabilité de l'entreprise est limitée et celle de l'utilisateur est avérée,
• Chaque station de travail dispose de droits d'accès sur le réseau clairement définis en fonction du poste tenu par l'utilisateur,
• Chaque station de travail est dotée d'un anti-virus, qui se met automatiquement à jour, et qui filtre aussi bien les emails que le surf internet,
• Le Système d'Exploitation de chaque station de travail est régulièrement mis à jour afin de corriger d'éventuelles failles de sécurité (appliquer les patchs).

Stratégie à adopter concernant les emails

Les emails sont réputés pour être vecteurs de virus. Mais les virus ne sont pas les seuls risques qui peuvent se transmettre par messagerie électronique. Principaux conseils liés aux messageries électroniques :

• Avoir systématiquement un antivirus filtrant tous les messages,
• Sensibiliser les utilisateurs aux risques comme le phishing (collecte d'information frauduleuse),
• Paramétrer le courrier électronique pour désactiver l'ouverture automatique des pièces jointes.

Stratégie à adopter concernant piratages externes ou internes

Sans mesures précises mises en place, le plus grand risque est qu'un piratage soit ignoré de la victime. En effet, le pirate pourra continuer à agir sans risque de se faire prendre. Principales mesures à mettre en place pour limiter les risques de piratages.

• Protéger l'accès à internet grâce à une appliance de sécurité,
• Protéger le réseau informatique en interne, grâce à un IDS par exemple et en mettant une politique de droits d'accès aux segments du réseau en fonction des profils des utilisateurs,
• Faire procéder régulièrement à des tests d'intrusions,
• Scinder le réseau en plusieurs sous réseaux (DMZ) afin d'isoler les éléments sensibles comme les serveurs de mails par exemple,
• Faire appel à un professionnel qui vous conseillera sur la meilleure architecture réseau à adopter en fonction de vos spécificités métier.

Stratégie à adopter concernant l'intégrité des informations

• Centraliser sur un ou plusieurs serveurs les données importantes de l'entreprise, ne pas autoriser de stockage sur station de travail afin de permettre des sauvegardes centralisées.
• Mettre en place une véritable stratégie de sauvegarde.
• Stocker les sauvegardes systématiquement à l'extérieur de l'entreprise, chez le chef d'entreprise ou en coffre fort en banque par exemple.
• Vérifier l'intégrité des sauvegardes réalisées en faisant ponctuellement une restauration de données.
• Mettre en place des droits d'accès en fonction des profils utilisateurs.
• Former les utilisateurs.

Conclusion

La stratégie de cybersécurité utile aux PME-PMI et aux Collectivités est constituée de différents aspects. Certains sont gratuits, ils ne nécessitent pas d'investissement ou de matériel particulier. Il faut juste de se poser les bonnes questions pour faciliter l'organisation en toute sécurité de son entreprise. Différentes méthodologies, comme la méthode FEROS ou la méthode EBIOS ont été conçues pour assister le chef d'entreprise ou le responsable informatique. D'autres aspects de la sécurité nécessitent l'accompagnement par un professionnel spécialisé dans le domaine de la cybersécurité. C'est pourquoi, nous avons développé différentes prestations et produits et accompagnons nos clients dans l'intégralité de la stratégie de sécurité.

Véronique Sainson
16 Aout 2007

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...