Depuis quelque temps, les problématiques de la cybersécurité sont sorties des scénarios Hollywoodiens pour ainsi occuper les grands titres de l’actualité.
A noter, les spectaculaires cyberattaques qui ont paralysé les systèmes administratifs des villes d’Atlanta et de Baltimore, les vols de données personnelles stockées par les GAFA et la prise de contrôle partielle du compte Twitter de Scotland Yard. Les victimes des pirates informatiques sont des organisations protéiformes qui ont peu en commun. Elles partagent malheureusement toutefois l’absence de prise de la pleine mesure des risques de vulnérabilité de leurs systèmes et la négligence quant au fait de rehausser le niveau de sécurité exigé de leurs équipes à l’aune de l’explosion de la cybercriminalité.
Face aux menaces nouvelles sur leurs principaux actifs d’information, les entreprises doivent ainsi changer de paradigme et se préparer à être à l’avant-garde en matière de cybersécurité. Pour ce faire, il leur appartient donc de cesser de considérer la cyberpréparation comme un simple problème informatique. Le traitement de ces questions est dorénavant du ressort du conseil d’administration qui a pour responsabilité de les aborder comme des éléments de gestion stratégique de risques dotés d’une structure décisionnelle adaptée.
En adoptant une approche de gestion des risques en matière de cybersécurité, votre entreprise a ainsi tout à gagner. De la prise de décision stratégique aux avantages opérationnels, vous bénéficiez ainsi d’une organisation préparée à faire face à la plupart des éventualités grâce à une culture de conscience des risques et à des plans d’urgence adéquats. En outre, en adressant au plus haut niveau de votre entreprise les enjeux de sa cybersécurité, votre activité devient ainsi plus sûre et plus durable, tandis que vos finances profitent d’un environnement maîtrisé et prévisible.
Un guide pratique en 10 sections :
Pour aider les organisations à se protéger dans le cyberespace, l’organisation nationale l’ANSSI AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D’INFORMATIONS a conçu un guide pratique. Il adresse les composantes essentielles de la défense de vos réseaux, de vos systèmes et de vos informations. Il apporte ainsi des conseils pratiques sur la mise en place de la meilleure sécurité possible dans chaque domaine. Régulièrement actualisé, il recense alors les mesures de sécurité adaptées à votre situation et vous aidera ainsi à protéger votre société contre les cyberattaques.
La mise en place de ces 10 pratiques vous aidera ainsi à considérablement améliorer la cybersécurité de votre entreprise sur le court, le moyen et le long terme.
Politique de gestion des risques
La prise de risques est une composante indispensable de la conduite des affaires. Elle permet ainsi de créer des opportunités et aide à atteindre les objectifs de l’entreprise. Pour voir les opérations de votre société couronnées de succès, vous devez toutefois identifier les risques, définir le niveau de risque que vous êtes disposé à tolérer et mettre en place les outils de leur gestion proportionnée et appropriée.
Comment implémenter une politique de gestion des risques ?
- Établir un cadre de gouvernance ;
- Déterminer les risques tolérables et ceux qui sont inacceptables ;
- Maintenir l’engagement du conseil ;
- Élaborer des politiques d’appui ;
- Adopter une approche de gestion des risques reposant sur le cycle de vie ;
- Appliquer les normes reconnues ;
- Recourir à un processus de certification de votre cybersécurité ;
- Éduquer les utilisateurs et maintenir la sensibilisation ;
- Promouvoir une culture de gestion des risques ;
Configuration sécurisée
La définition d’une configuration sécurisée des systèmes de votre entreprise contribue ainsi à grandement améliorer le niveau de sécurité des technologies au cœur de vos opérations. Cette stratégie de sécurisation des systèmes et de l’information va vous conduire ainsi à adopter une politique de correction rapide des vulnérabilités, à identifier et à désactiver les fonctionnalités inutiles et à formuler une politique de mise à jour adaptée à vos enjeux.
Comment mettre en place une configuration sécurisée ?
Pour minimiser le péril que fait planer une mauvaise configuration de vos systèmes, vous pouvez envisager de mettre en place les contrôles de sécurité suivants :
- Utiliser des logiciels supportés ;
- Élaborer et mettre en œuvre des politiques pour mettre à jour et corriger les systèmes ;
- Créer et tenir à jour des inventaires de matériels et de logiciels ;
- Adaptez vos systèmes d’exploitation et vos logiciels à vos besoins métiers et aux utilisateurs ;
- Effectuez régulièrement des analyses de vulnérabilité ;
- Établir le contrôle et la gestion de la configuration ;
- Désactivez les périphériques inutiles et l’accès aux supports amovibles ;
- Mettre en place une liste blanche des logiciels autorisés et un contrôle d’exécution des processus interdisant ainsi l’installation de programmes non autorisés ;
- Limiter la possibilité pour l’utilisateur de modifier la configuration ;
- Limiter les fonctionnalités accessibles par les admins.
Travail à domicile et nomade
Le télétravail, les activités nomades et les accès à distance révolutionnent la manière dont sont conduites les affaires. Mais, elles exposent toutefois vos systèmes et vos informations à une série de nouvelles menaces qu’il convient d’adresser. En travaillant en dehors des infrastructures de votre entreprise, vos collaborateurs étendent ainsi le transit et le stockage de l’information et des données à des infrastructures dont le niveau de sécurisation et de cryptage n’est pas toujours optimal. Les usages nomades dans des espaces publics mettent ainsi en danger la confidentialité de vos données en simplifiant la surveillance des écrans, ainsi que le vol ou la perte d’appareils.
Le développement de procédures détaillées fondées sur le risque, qui encadrent le télétravail, le travail nomade ou l’accès des données de vos utilisateurs et de vos fournisseurs de services, vous permet ainsi de réduire votre vulnérabilité.
Comment gérer la sécurité des activités nomades et des accès à distance ?
La sécurisation des données et des informations en dehors des infrastructures de l’entreprise constitue toutefois un véritable défi. Pour gérer la cybersécurité des activités mobiles de votre organisation, il convient de mettre en œuvre les mesures suivantes :
- Évaluer les risques et créer une politique de travail mobile ;
- Éduquer les utilisateurs sur la gestion sécurisée des informations d’identification, sur la sensibilisation à l’environnement de travail et au signalement des incidents ;
- Réduire au maximum la quantité d’informations stockées sur l’appareil ;
- Protéger les données en transit en les cryptant correctement ;
- Adapter les plans de gestion des incidents de l’entreprise pour qu’ils prennent en compte les incidents de sécurité occasionnés par les usages nomades.
Gestion des incidents
Toutes les entreprises rencontrent des incidents de sécurité informatique à un moment donné. Pour y faire face, l’établissement d’une politique pragmatique et efficace de gestion des incidents permet ainsi d’améliorer la résilience. Elle permet, en outre de soutenir la continuité des activités, d’éviter les préjudices commerciaux, de se conformer aux exigences légales et réglementaires et de réduire les impacts.
Comment implémenter une politique de gestion des incidents efficace ?
La nature de l’activité de votre entreprise et son rôle dans son écosystème économique va déterminer le type d’incidents auxquels elle doit faire face et les impacts qu’elle pourrait ainsi subir. Ainsi, le plan de gestion des incidents fondé sur les risques sera donc différent pour une TPE, une PME, et à fortiori un groupe international.
Voici les différents points à considérer lors de son élaboration :
- Établir une capacité d’intervention en cas d’incident ;
- Offrir une formation spécialisée à l’équipe d’intervention ;
- Nommer et habiliter des personnes spécifiques (ou des fournisseurs) pour gérer les incidents ;
- Établir une capacité de récupération des données ;
- Tester les plans de gestion des incidents ;
- Définir les exigences en matière de rapports internes et externes ;
- Recueillir et analyser les preuves post-incident ;
- Effectuer un examen des leçons apprises ;
- Sensibilisation des utilisateurs ;
- Signaler les incidents criminels aux autorités compétentes ;
Prévention des logiciels malveillants
L’échange d’informations via les e-mails, la navigation web, l’utilisation de services web ou d’appareils mobiles de stockage des données met potentiellement vos systèmes au risque d’être confrontés ainsi à un logiciel malveillant, ou malware. Il est possible toutefois de réduire votre exposition à cette menace en déployant des contrôles de sûreté appropriés.
Comment lutter efficacement contre les logiciels malveillants ?
La lutte contre les logiciels malveillants nécessite la mise en œuvre d’une approche globale basée sur une défense en profondeur des systèmes. Voici différents éléments à incorporer dans votre plan de lutte :
- Élaborer et mettre en œuvre des politiques de lutte contre les logiciels malveillants ;
- Gérer l’importation et l’exportation de toutes les données ;
- Créer une liste noire contenant les sites Web malveillants et en bloquer l’accès ;
- Equiper tous les appareils de produits anti-virus appropriés ;
- Adopter une architecture technique qui offre plusieurs couches défensives (pare feu, antivirus, mise à jour des logiciels, …) ;
- Éduquer et sensibiliser les utilisateurs.
Gestion des droits des utilisateurs
Toutefois, une bonne gestion des droits des utilisateurs de vos applications informatiques permet significativement de réduire les impacts négatifs en cas de compte mal utilisé ou compromis. Ainsi, en octroyant aux personnes de votre équipe du niveau suffisant de droits pour remplir leurs fonctions, vous adoptez le principe du moindre privilège et renforcez alors votre sécurité informatique.
Comment gérer les droits des utilisateurs selon le principe du moindre privilège ?
L’implémentation d’une gestion des droits des utilisateurs selon le principe du moindre privilège nécessite le développement de normes et de processus, dont voici un aperçu :
- Établir des processus efficaces de gestion des comptes ;
- Établir des politiques et des normes pour l’authentification des utilisateurs et le contrôle d’accès ;
- Limiter les privilèges des utilisateurs ;
- Limiter le nombre et l’utilisation des comptes administrateur ;
- Surveiller l’activité des utilisateurs ;
- Limiter l’accès aux journaux d’activité des périphériques du réseau ;
- Éduquer les utilisateurs et maintenir leur sensibilisation.
Surveillance des systèmes
La surveillance permanente des systèmes constitue ainsi une solution efficace pour détecter rapidement les attaques et les tentatives d’intrusion contre votre infrastructure informatique. Ainsi, vous aurez les moyens pour leur répondre de manière appropriée. Cette vigilance constante vous assure en outre l’utilisation conforme aux exigences internes, légales et réglementaires de vos appareils électroniques, de vos réseaux informatiques et de vos solutions de protection des données.
Comment déployer une surveillance efficace des systèmes ?
Une surveillance efficace s’appuie sur une stratégie détaillée ainsi qu’un ensemble de mesures de vigilance pensées pour assurer ainsi un suivi permanent des sources potentielles d’attaques, d’incidents ou de menaces. Voici les principaux éléments à prendre en compte pour vous doter d’une surveillance à même d’améliorer votre cybersécurité :
- Établir une stratégie de surveillance et des politiques de soutien ;
- Surveiller tous les systèmes ;
- Surveiller le trafic réseau ;
- Contrôler l’activité des utilisateurs ;
- Mettre au point les systèmes de surveillance ;
- Mettre en place une capacité centralisée de collecte et d’analyse ;
- Fournir un chronométrage résilient et synchronisé utilisé dans toute l’organisation ;
- Aligner les politiques de gestion des incidents ;
- Procéder à un examen des incidents passés.
Sécurité du réseau
Les connexions de vos réseaux à Internet constituent une menace pour la cybersécurité de votre entreprise. Cependant, pour améliorer le niveau de sécurité de vos infrastructures et de vos données, il est toutefois possible de mettre en œuvre des réponses techniques et architecturales appropriées qui réduisent ainsi la probabilité d’une cyberattaque réussie tout en vous protégeant ainsi des dommages qu’elle pourrait créer.
Comment gérer la sécurité du réseau ?
La multiplication des sites, des types d’appareils et des services cloud intégrés à vos systèmes d’information révolutionnent le monde de l’informatique. Il est de moins en moins pertinent de se focaliser uniquement sur les connexions physiques. Ainsi, basée sur des principes reconnus, comme la norme ISO 27033 par exemple, votre politique de sécurité va comprendre à la fois le périmètre du réseau ainsi que l’ensemble des mesures de protection et de sécurisation des données et des informations afin de minimiser ainsi les effets néfastes d’une intrusion.
- Gérer le périmètre du réseau, et notamment l’accès aux ports, aux protocoles et aux applications.
- Contrôler et gérer toutes les connexions au réseau entrantes et sortantes avec des pare-feux et des solutions de vérification des logiciels malveillants.
- Protéger le réseau interne en interdisant ainsi le routage direct entre les réseaux internes et externes, en sécurisant vos accès Wi-Fi, en surveillant le trafic réseau ou en isolant les systèmes critiques de l’entreprise pour les séparer des autres réseaux.
Contrôle de l’utilisation des supports amovibles
Les supports amovibles de données sont un vecteur identifié d’introduction de logiciels malveillants. Il peut s’agir de diffusion accidentelle ou délibérée des données sensibles d’une entreprise. Ainsi, votre politique de sécurité informatique doit apporter des réponses claires à vos équipes et aux employés de vos sous-traitants sur les conditions d’utilisation des supports amovibles.
Comment contrôler l’utilisation des supports amovibles ?
Dans des circonstances normales, votre entreprise stocke ses données et informations dans son système informatique. Toutefois, le recours aux supports amovibles ne doit donc pas constituer un mécanisme par défaut de transfert ou de stockage de l’information. Vous contribuerez ainsi à renforcer votre cybersécurité en mettant en œuvre les recommandations suivantes :
- Élaborer et mettre en œuvre des politiques et des solutions pour contrôler ainsi l’utilisation des supports amovibles ;
- Limiter l’utilisation de supports amovibles ;
- Recherchez les logiciels malveillants sur tous les supports ;
- Remettre officiellement les supports amovibles aux utilisateurs afin de les rendre responsables de leur utilisation ;
- Crypter l’information détenue sur ces unités de stockage ;
- Gérer activement la réutilisation et l’élimination des supports amovibles ;
- Former les utilisateurs et maintenir la sensibilisation.