La sécurité de vos données est indispensable pour apporter la confiance dans la gestion des données personnelles de votre organisation.
Les principes de la sécurité
1.1 Exigences fondamentales
La sécurité informatique c’est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles.
La sécurité recouvre ainsi plusieurs aspects :
- Intégrité des informations (pas de modification ni destruction)
- Confidentialité (pas de divulgation à des tiers non autorisés)
- Authentification des interlocuteurs (signature)
- Respect de la vie privée (informatique et liberté).
Une menace est une violation potentielle de la sécurité. Cette menace peut être accidentelle, intentionnelle (attaque), active ou passive.
1.2 Étude des risques
Les principaux risques restent : « câble arraché », « coupure secteur », « crash disque », « mauvais profil utilisateur », « test du dernier CD Bonux » …
Voici quelques éléments pouvant servir de base à une étude de risque :
- Quelle est la valeur des équipements, des logiciels et surtout des informations ?
- Quel est le coût et le délai de remplacement ?
- Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d’analyse des paquets, logs…).
- Quel serait l’impact sur la clientèle d’une information publique concernant des intrusions sur les ordinateurs de la société ?
1.3 Établissement d’une politique de sécurité
Voici quelques éléments pouvant aider à définir une politique :
- Quels furent les coûts des incidents informatiques passés ?
- Quel degré de confiance pouvez-vous avoir envers vos utilisateurs interne ?
- Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?
- Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement forte qu’elle devient contraignante ?
- Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessibles de l’externe ?
- Quelle est la configuration du réseau et y a-t-il des services accessibles de l’extérieur ?
- Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la confidentialité des informations (ex : loi « informatique et liberté », archives comptables…) ?
1.4 Éléments d’une politique de sécurité
La formation et de la sensibilisation permanente des utilisateurs, la politique de sécurité peut être découpée en plusieurs parties :
- Défaillance matérielle : Tout équipement physique est sujet à défaillance (usure, vieillissement, défaut…)
- Défaillance logicielle : Tout programme informatique contient des bugs.
- Accidents (pannes, incendies, inondations…) : Une sauvegarde est indispensable pour protéger efficacement les données contre ces problèmes
- Vol via des dispositifs physique (disques et bandes) : Contrôler l’accès à ces équipements
- Erreur humaine
- Virus provenant de disquettes
- Piratage et virus réseau
1.5 Principaux défauts de sécurité
Les défauts de sécurité d’un système d’information les plus souvent constatés sont :
- Installation des logiciels et matériels par défaut.
- Mises à jour non effectuées.
- Mots de passe inexistants ou par défaut.
- Services inutiles conservés (Netbios…).
- Traces inexploitées.
- Pas de séparation des flux opérationnels des flux d’administration des systèmes.
- Procédures de sécurité obsolètes.
- Éléments et outils de test laissés en place dans les configurations en production.
- Authentification faible.
- Télémaintenance sans contrôle fort.
Les 6 points à retenir !
- Il est essentiel de mettre en place une infrastructure informatique responsable et de sécuriser les données.
- L’infection par logiciel malveillant est l’incident de sécurité informatique le plus courant, il est donc important d’atténuer les risques en sensibilisant les employés. Vous devez expliquer que vous n’avez pas besoin d’ouvrir des courriers électroniques d’expéditeurs inconnus, de télécharger des programmes de sources non autorisées ou d’utiliser un support USB non contrôlé lorsque vous travaillez avec des données sensibles.
- La perte de périphériques ou de supports de stockage est le deuxième type d’incident le plus courant. Il est donc essentiel d’utiliser la cryptographie pour garantir que les données critiques ne sont pas perdues lorsqu’un périphérique disparaît ou est perdu.
- Vous devez toujours vérifier et installer régulièrement des mises à jour logiciels et des correctifs sur tous les périphériques.
- Si les employés utilisent des outils et un stockage en nuage, y compris des bases de données, il est important de s’assurer qu’ils constituent des services fiables.
- N’oubliez pas que la sécurité des données d’entreprise est toujours la responsabilité de l’organisation, même si ces données sont stockées dans un cloud public ou une application basée sur le cloud. Les fournisseurs peuvent garantir la sécurité de l’ensemble de l’environnement cloud, mais peuvent ne pas être en mesure de garantir la sécurité des données.
Pour en savoir plus :
Commentaires récents