Le thème de la sécurité informatique est de plus en plus présent dans les médias, et intéresse de plus en plus les individus comme les entreprises. Les internautes et administrateurs de sites sont de plus en plus informés, connaissent de mieux en mieux les différentes menaces informatiques qui pèsent sur leurs données et leurs systèmes d’information…
Et pourtant, le niveau de protection de chacun n’est pas toujours à la hauteur du risque encouru ! Net4All, infogérant spécialisé dans la sécurité informatique, souhaite aider les entreprises Suisses à améliorer la sécurité de leurs systèmes d’information. C’est le seul moyen d’arriver à un Web globalement plus sûr pour tous. Cette sécurisation passe par de nombreux chantiers ; en voici les principaux.
Les données, une ressource à protéger
Les vols de données font partie des attaques les plus plébiscitées par les hackers. Elles sont monnayables, peuvent être échangées contre une rançon, et ont un impact majeur sur les entreprises. Il est donc vital de fournir à vos données une protection optimale.
Le chiffrement des données
Le premier réflexe à avoir est le chiffrement de données. Il consiste à rendre vos données illisibles par quiconque ne possède pas la clé de déchiffrement. Ainsi, même en cas de vol de données, ces dernières seront inutilisables par les pirates. Pour l’échange de données sensibles, l’usage de mails chiffrés ou d’applications de partage sécurisé sont notamment indispensables.
Mais ce n’est pas tout ! Il convient également de chiffrer, et donc sécuriser la connexion entre votre serveur et vos internautes ou clients. L’usage du HTTPS, grâce à un certificat SSL, vous permet de montrer à vos internautes que cette connexion est chiffrée, donc illisible, donc sécurisée. Vos internautes peuvent alors vous fournir leurs données en toute confiance.
Deux bonnes pratiques supplémentaires
Au-delà du chiffrement, d’autres bonnes pratiques vous permettent de limiter les dégâts en cas d’incident.
- Politique de conservation des données : déterminez quelles données sont réellement utiles à votre activité, et supprimez de vos bases toutes les données inutiles. C’est toujours ça de moins dans les mains des pirates !
- Politique de sauvegarde de données : stockez une sauvegarde de vos données dans un autre système et une autre zone géographique que votre système principal. En cas d’accident ou d’attaque, vous évitez ainsi la perte totale de vos données, souvent synonyme de fin d’activité pour une entreprise
Un système cuirassé de tous côtés
Les données ne sont cependant pas les seuls éléments sensibles d’un système. C’est pourquoi il est nécessaire de réaliser, régulièrement, des tests de sécurité sur ses plateformes. Audits, tests de pénétration internes ou externes… Ils permettent de mettre en lumière les points sensibles et les vulnérabilités des systèmes, afin de pouvoir les renforcer avant que les pirates ne les exploitent.
Entre ces tests, une veille technologique doit également être effectuée. De nouvelles failles sont découvertes tous les jours, et il est vital d’appliquer rapidement les correctifs de sécurité des solutions utilisées dans votre système d’information. Cela paraît évident, mais dans les faits, on constate encore de sérieux manquements…
Enfin, n’oubliez pas que le réseau Internet n’est pas le seul moyen pour pénétrer dans votre système ! Protégez bien vos réseaux Wi-Fi, connexion Internet, système de surveillance… et sécurisez les accès physiques au bâtiment. Portez également attention à vos prestataires : aux Etats-Unis, Tesco s’était fait compromettre par l’intermédiaire de son fournisseur de climatisation. Ne laissez rien au hasard.
Sensibilisez vos collaborateurs aux bonnes pratiques
Enfin, comprenez que vos employés jouent un rôle essentiel dans la sécurisation de votre système d’information. La majorité des incidents informatiques découlent d’une erreur humaine qui aurait pu être évitée. Formez donc vos employés à reconnaître les menaces (notamment le phishing et l’ingénierie sociale en général) et à utiliser les bonnes pratiques de sécurité.
Le » Bring Your Own Device » peut également représenter un danger. Certes, la Suisse est plus avancée que ses confrères européens sur le sujet et, selon la loi, « le travailleur est responsable du dommage qu’il cause à l’employeur intentionnellement ou par négligence ». Cependant, autant ne pas prendre ce risque ! Encadrez donc bien cette pratique.
Un bon moyen de sécuriser efficacement les comptes de vos employés est également d’imposer l’usage de mots de passe forts. L’utilisation de caractères majuscules, minuscules, spéciaux, chiffres, etc mais également de « passphrase » vous permettent de limiter les risques de cassage de mot de passe !
Une politique globale à mettre en place
Ces conseils ne représentent qu’une partie de ce qui peut être mis en place pour protéger votre système d’information. La sécurité d’un site ne peut se penser qu’en intégrant toutes ces dimensions (technique, donc, et surtout humaine), et en connaissant bien ses plateformes. Attention également au travers consistant à superposer des couches indépendantes sur votre système ou à utiliser des outils non reliés entre eux : une politique de sécurité doit découler d’une réflexion globale et être appliquée en tant que telle. Dernier conseil : n’attendez pas qu’une attaque survienne pour vous intéresser à la sécurité informatique… Cela paraît cliché, mais personne n’est à l’abri !
