Les données sont le cœur même des entreprises, quelle que soit leur taille. En dépit de leur effectif réduit et de leur organisation simplifiée, les PME sont confrontées aux mêmes menaces de sécurité que les grandes organisations… sans toutefois disposer de leur budget. Vous souhaitez sensibiliser vos collègues aux problématiques de la sécurité des données ? Toshiba vous livre les meilleures pratiques en matière de sécurité des données et de conformité aux normes en vigueur, à destination des petites et moyennes entreprises.
A lire aussi dans notre dossier “Sécurité des données” :
- La sécurité des données en entreprise: enjeux majeur des PME
- Protection des données personnelles : un nouveau défi pour les DSI
- Risque informatique en entreprise : les 8 sujets à traiter
- Employés maillon faible de la sécurité
- Le coût des pertes de données pour les entreprises
- LE BYOD représente-t-il un risque pour l’entreprise ?
- Cloud et sécurité des données : comment faciliter la vie de vos employés?
- 8 solutions pour améliorer la sécurité informatique des entreprises
- Quelle politique de sécurité informatique adopter dans les PME et TPE ?
- L’infrastructure et sécurité : l’un ne va pas sans l’autre
- Comment le cryptage des données améliore la sécurité et de la protection du SI ?
- Le client léger mobile est l’avenir de la virtualisation
- Comment collaborer de façon sécurisée dans les TPE PME ?
- Protéger l’accès aux données de l’extérieur en situation de mobilité
- Mobile Zero Client : la sécurité avant tout
- Le Client léger et le Zero Client
Si vous souhaitez en savoir plus sur les enjeux en matière de sécurité des données pour les entreprises, téléchargez notre guide gratuit sur la sécurité informatique pour les entreprises agiles et mobiles >> je télécharge
Faire face à des risques multiples qui mettent en péril l’entreprise
Les failles de sécurité des systèmes d’information font partie des problématiques les plus délétères en matière de croissance et de chiffre d’affaires. Selon une étude menée par le cabinet de conseil PWC en 2016, 61% des chefs d’entreprises français se disent préoccupés par le risque de cybercriminalité.
Toujours selon cette même enquête 2016, les pertes financières liées aux incidents de cyber sécurité se seraient élevées à 3,7 milliards de dollars en France en 2015, en augmentation de 28% par rapport à 2014.
Les causes de ces écueils sont de différentes natures. L’on distingue généralement
- Les actes malveillants provenant de l’extérieur des problèmes de sécurité interne, dus à des erreurs humaines
- Les e-mails frauduleux
- L’usurpation d’identité
- L’infection des postes de travail
- La perte d’informations sensibles
- Les fausses manipulations qui peuvent être à l’origine d’un risque de sécurité qui doit être anticipé et/ou maîtrisé. La sensibilisation de vos collaborateurs est, à cet égard, un enjeu crucial.
La perte de données : un écueil plus fréquent qu’on ne le pense
Bien que la perte de données puisse sembler inévitable, une méthodologie appropriée et des infrastructures idoines contribuent à limiter ce phénomène.
La première étape consiste à comprendre les principales causes de la perte données et à en détecter les signes avant-coureurs.
Une fois que vous avez effectué ce travail de recherche, vous devez appliquer les bonnes pratiques en matière de prévention et vous pourrez prendre les mesures nécessaires pour empêcher la perte de données avant qu’elle n’entraîne une situation critique pour votre entreprise.
a) Les principales causes de la perte de données
La perte de données peut être due à une défaillance de l’infrastructure informatique. Les pannes de serveurs ou des postes de travail résultent soit d’un problème de maintenance soit, tout simplement, de l’usure. Les conséquences peuvent être graves, allant de l’immobilisation des équipes à la perte de données importantes et sensibles, en cours de traitement par les utilisateurs.
La suppression accidentelle par les employés est également une cause importante de la perte de données. Les fichiers peuvent être écrasés par inadvertance. En l’absence de systèmes de sauvegarde automatique ou de récupération d’anciennes versions de fichier, il est impossible de récupérer les informations perdues.
Pour lutter contre la perte de données liée aux dysfonctionnements technologiques ou humaines, il est possible de mettre en place différentes stratégies, comme le PCA et le PRA.
b) Le PCA : accroître la disponibilité des activités essentielles
Le PCA est un acronyme signifiant Plan de Continuité d’Activité. Il repose sur un ensemble de procédures visant à anticiper les défaillances du Système d’Information et éviter, par la même, les interruptions d’activité au sein de l’entreprise. Les avantages du PCA sont nombreux : sauvegarde des données sensibles/critiques sur sites extérieurs, sensibilisation des équipes en cas de faille de sécurité ou de sinistre.
c) Le PRA : facilité le redémarrage des activités après une interruption
Lorsque l’interruption est effective, il convient de réagir de la meilleure manière pour redémarrer les applications et systèmes composant le SI. Le PRA (Plan de Reprise d’Activité) permet de limiter les dégâts et l’impact financier en cas d’incident technique ou humain. Il implique et fédère les équipes en assignant à chacun son rôle pour améliorer la réactivité dans l’urgence. Les systèmes de sauvegarde (backup) et de redondance des unités de stockage (RAID) peuvent être intégrés dans ce plan de secours pour limiter la perte d’informations.
La sécurité des données
La perte de données n’est pas le seul écueil rencontré par les TPE/PME. A l’instar des grandes entreprises, elles peuvent subir des menaces externes, y compris au sein des environnements sécurisés et/ou nomades.
a) Des menaces de différentes origines
Tout ordinateur connecté à un réseau informatique peut subir une faille de sécurité. Les menaces extérieures (virus, chevaux de Troie, piratage) peuvent entrainer la compromission d’un poste de travail et s’étendre à l’ensemble du SI de l’entreprise en l’absence de réaction adéquate. Ces attaques présentent des risques non négligeables allant de l’utilisation d’informations sensibles (données bancaires, informations confidentielles ou personnelles), à l’usurpation d’identité, en passant par le vol de documents relatifs à la propriété intellectuelle de l’entreprise, bien souvent à des fins de revente.
Parfois, ce n’est pas une faille de sécurité de l’infrastructure informatique qui devient une porte d’entrée pour les pirates mais l’utilisateur lui-même. Le phishing, par exemple, consiste à faire croire à l’usager qu’il se trouve sur un site de confiance pour récupérer des informations stratégiques (données bancaires, comptes mails ou mots de passe).
Pour anticiper, limiter et lutter contre les attaques et tentatives de piratage, il convient de mettre en place des actions spécifiques :
- Utiliser un firewall (pare-feu) : il s’agit d’un système permettant de protéger les postes de travail des intrusions externes. Attention, un pare-feu doit toujours être paramétré. Il est notamment possible d’autoriser ou bloquer la connexion de certains programmes/applications.
- Un logiciel antivirus, de préférence adapté aux entreprises et régulièrement mis à jour, peut bloquer les tentatives d’intrusion par des logiciels malveillants.
- Des systèmes de détection d’intrusion (IDS) permettent de détecter des activités anormales sur le réseau.
- Utiliser des mots de passe complexes (10 caractères minimum, utilisation de majuscules et minuscules, caractères spéciaux.) Changer régulièrement les mots de passe des utilisateurs (mise en place d’un système automatique).
- Après une attaque, il est préférable de réinstaller les applications/interfaces touchées.
b) Cloud et PME : quels risques de sécurité ?
De plus en plus de PME sont séduites par la technologie cloud, qui offre beaucoup de flexibilité et réduit le coût lié à l’achat et à la maintenance d’une infrastructure informatique dédiée (serveurs, racks, etc.). Néanmoins, l’environnement cloud pose certains problèmes en matière de sécurité.
Le renforcement des infrastructures réseau doit être la règle absolue pour prévenir toute intrusion. Des mesures telles que le chiffrement des données stockées et l’authentification systématique des utilisateurs par mot de passe complexe peuvent être notamment mises en place.
Les outils de communication nomades, notamment les tablettes et les Smartphones doivent être paramétrés avec des chiffrements adéquats. Toutes les données sensibles doivent être archivées dans des containeurs (dossiers) chiffrés avec une clé de cryptage rendant celles-ci inaccessibles en cas de perte ou de vol du matériel.
Attention aux réseaux WiFi : en dépit de leur caractère pratique, ils sont particulièrement vulnérables puisqu’ils ouvrent le réseau interne de l’entreprise au-delà des murs physiques des locaux. Parmi les bonnes pratiques, il est indispensable de sécuriser les connexions en ayant recours au protocole WPA et en choisissant le mode de chiffrement AES/CCMP.
c) La RGPD : une nouvelle norme imposée aux TPE/PME
Une autre contrainte renforce les enjeux de la protection des données : la nouvelle norme RGPD (Règlement Général sur le Protection des Données) visant à affermir les obligations des entreprises vis-à-vis des informations concernant des tiers (clients, prospects). Toute fuite ou faille de sécurité expose donc les entreprises à des sanctions si elles n’ont pas déployé tous les moyens pour accroître la sécurité de leur Système d’Information ou en cas de non-conformité aux nouvelles normes relatives à la protection des données. Le RGPD entrera en vigueur le 25 mai 2018.
La gestion de l’accès aux données
Au-delà des menaces externes, il existe un certain nombre de situations critiques pour la sécurité d’une entreprise au niveau interne. Les membres de l’entreprise accèdent quotidiennement aux informations les plus précieuses. C’est pourquoi il est primordial de mettre en place une politique de sécurité interne quant à la définition des droits et des habilitations de chaque utilisateur, mais également de sensibiliser les équipes pour éviter ou limiter les erreurs de manipulation et les réactions inadaptées en cas de cyberattaque.
a) La définition des droits des utilisateurs
La restriction des droits permet d’éviter que certains utilisateurs n’accèdent à des répertoires spécifiques du réseau local de l’entreprise. Par conséquent, chaque usager peut uniquement visualiser et traiter les informations dont il a réellement besoin. Définir un administrateur du réseau (idéalement le gestionnaire principal du Système d’Information) permet de limiter les actions visant à modifier l’infrastructure en place par n’importe quel utilisateur (téléchargement d’un programme ou d’une application, par exemple).
Les personnes externes à l’entreprise susceptible de se connecter au réseau (comme un prestataire ou un client, par exemple) doivent disposer d’un accès invité, avec une utilisation restreinte notamment en ce qui concerne l’accès aux informations et dossiers confidentiels protégés par mots de passe.
Suite au départ – volontaire ou non – d’un employé, il est recommandé de supprimer son compte, ses permissions d’accès aux répertoires et ses mots de passe.
b) Authentification et cryptage des données
Chaque utilisateur doit posséder son propre mot de passe, créé par ses soins, et éviter de le communiquer à des tiers. La construction d’un mot de passe complexe est seule garante d’une sécurité optimale. Plus le mot de passe choisi sera complexe (combinaison de chiffres, lettres, caractères spéciaux, majuscules et minuscules) et décorrélé de l’univers personnel de l’utilisateur, plus il sera efficace en matière de sécurité.
Sécurité des données : conclusion
Pour conclure, la sécurité informatique et la protection des données sont des problématiques récurrentes qui concernent aussi bien les petites entreprises que les groupes de grande envergure. Une faille de sécurité représente un risque important qui peut engager l’avenir et le chiffre d’affaires d’une entreprise. Dans un contexte où les normes de sécurité prennent une ampleur considérable, notamment avec l’entrée en vigueur prochaine de la RGPD, la responsabilité des dirigeants quant au traitement et à la préservation des informations peut être imputée. Il est d’autant plus important de déployer des moyens adaptés pour affermir la sécurité du Système d’Information.