SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow TPE PME/PMI arrow 10 Recommandations
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
10 recommandations Convertir en PDF Version imprimable Suggérer par mail
12-02-2006
nota : le jargon employé ici est détaillé dans la rubrique Glossaire.

1-
Analysez les enjeux et les menaces liés à l'utilisation des technologies de l'information :
quelles sont les données critiques pour mon entreprise ?
quels sont mes enjeux ? (voir aussi Enjeux de la SSI)
quelles sont mes vulnérabilités ?
quelles sont mes traitements et mes données sensibles ?
quels sont mes risques juridiques ? (voir aussi Aspects juridiques)
quels sont les scénarios catastrophe pour mon entreprise et comment puis-je m'en prémunir ?

exemples de scénarios catastrophe : (Voir liste et solutions au point 4)
  • J'ai une proposition urgente à remettre et mon serveur est bloqué par un virus ! comment l'éviter ?
  • Un début d'incendie a détruit mon système, mes données sont perdues comment redémarrer ?
  • Un commercial fâché à claqué la porte en emportant le fichier client, comment m'en prémunir ?
  • Un employé indélicat s'est servi de son accès à internet pour répondre sur un formum pédophile, que dois-je faire ?
  • Je me suis fait voler mon ordinateur portable qui contenait en clair ma stratégie commerciale et des données confidentielles, comment éviter cela ?
Se rappeler que d'une manière (erreur) ou d'une autre (malveillance) le danger vient tout autant de l'intérieur de l'entreprise que de l'extérieur,
Se rappeler que la technologie ne peut pas tout :
La sécurité est un processus pas un produit.

2- Définissez votre stratégie de sécurité :
Après avoir évoqué les menaces et les vulnérabilités qui pèsent sur votre entreprise du fait de l'utilisation du système d'information, définissez une stratégie de sécurité, c'est à dire une liste des solutions de sécurité à aligner en face des scénarios catastrophe les plus pénalisants évoqués plus haut.
N'oubliez pas que des solutions matérielles ou logicielles existent mais que le maillon faible, volontaire ou involontaire est toujours à l'intérieur de l'entreprise.

3- Définissez votre politique de sécurité :
Après avoir défini votre stratégie de sécurité,  affichez-la  (au sens propre du mot) sous forme de charte.
Faites la connaitre au personnel, sensibilisez le au cours de réunions d'information.
Faites la respecter en l'annexant au règlement intérieur, qui sera lui-même évoqué dans le contrat de travail de vos employés (si + de 20 employés).
La plus grande transparence doit être appliquée vis à vis des représentants du personnel dès lors que votre entreprise compte + de 10 employés (DP) ou + de 49 employés (CE), informez-les en priorité !
Cette politique de sécurité doit comporter les points suivants :
  • Rappel des enjeux de sécurité pour la sauvegarde de l'entreprise et la responsabilité de chaque empoyé dans compréhension et la mise en oeuvre de cette stratégie,
  • Rappel des règles de droit concernant la sécurité des informations (notamment les informations nominative -CNIL) et de l'usage interdit d'internet (Sites pédophiles, incitation à la haine raciale, diffamation, etc..)
  • Rappel des Solutions de sécurité mises en oeuvre,
  • Pour plus de clareté se référer à un document annexe détaillant certains points (gestion des identités, usage des mots de passe, usage d'internet, etc...)
  • Règles d'utilisation des systèmes d'information internes,
  • Règles d'utilisation de la messagerie,
  • Règles d'utilisation d'internet,
  • Règle d'utilisation des postes mobiles,
  • Rappel des sanctions encourrues par la non-observation des règles fondamentales, notamment de la possibilité de procéder, en accord avec les DP ou CE à des investigations plus approfondies sur l'usage personnel d'internet ou de la messagerie en cas de doute fondé concernant un usage répréhensible juridiquement  ou gràvement nuisibles à l'entreprise.

4- Planifiez la mise en oeuvre des mesures de sécurité en priorisant les scénarios les plus graves :
par exemple :

 Scénario Catastrophe
 Solution de sécurité
  
 Incendie Dégâts des eaux = Indisponibilité totale ou partielle
de vos moyens informatiques
Erreur ou malveillance = perte de tout ou partie des informations
Sauvegarde régulières* à l'extérieur de l'entreprise des données de tous les fichiers, mais aussi licences, paramètres, systèmes, réseaux, patchs...
Plan d'urgence préparé : quel fournisseur peut fournir mes nouveaux systèmes,
que prévoit mon fournsseur logiciel pour de nouvelles licenses, ou puis-je trouver des locaux
Plan d'urgence testé : je fais une simulation une fois par an du scénario catastrophe
Formez et sensibilisez régulièrement votre personnel.
 Attaques extérieures de pirates = destruction de programmes effacement ou vol de données
 Adoptez une architecture sécurisée* : Routeur + Parefeu (des solutions intégrées existent,) Si possible une Zone démilitarisée isolant internet de votre réseau local (*voir exemples ci-dessous)
Sauvegardez régulièrement vos données (hebdo recommandé)
Plan d'urgence hacker  testé : les bons réflexes en cas d'intrusion
Formez et sensibilisez régulièrement votre personnel.

VIRUS, Trojan ou Vers...= Blocages long de vos moyens informatiques
Installez un antivirus de groupe efficace, installez un antivirus et un parefeu sur chaque poste de travail
Sauvegardez régulièrement vos données (hebdo recommandé)
Mettez régulièrement à jour vos antivirus
(hebdo recommandé)
Abonnez-vous aux alertes virales (CERT) (quotidien)
Plan d'urgence viral  testé : les bons réflexes en cas d'attaque virale
Formez et sensibilisez régulièrement votre personnel.
Saturation des boites aux lettres e-mail = Blocage de vos moyens de communication mail
 Installez une solution anti-spam de groupe, (des solutions intégrées existent)
Formez et sensibilisez régulièrement votre personnel.
 Présence de logiciels espion sur vos postes de travail = Ralentissement de
vos traitements et risques d'espionnage industriel ou de vol d'informations
 Installez une solution anti-spyware régulièrement mise à jour sur les postes de travail
Faites héberger votre filtrage anti-spam ,
Formez et sensibilisez régulièrement votre personnel.
 Accès des collaborateurs à des applications sensibles internes =
risque de divulgation (salaires) ou de vol d'informations (clients) ou de vol de procédés de fabrication.
Mettez en place une solution de gestion des identités : Les données sensibles de votre entreprise ne doivent pas être accessibles à tous les collaborateurs;
Mettez en place un dispositif d'authentification obligeant chaque employé à s'identifier et à s'authentifier (identifiant unique + mot de passe) établissez dans un annuaire de type AD (Active Directory de Microsoft) ou LDAP (Open LDAP)  unique (et régulièrement sauvegardé) les règles d'identification + habilitations c'est à dire profil et rôle de chaque collaborateur (qui à le droit de faire quoi dans l'entreprise);
Formalisez les règles de mise à jour de cette gestion d'identité (Qui le fait trace de ce qui a été fait).
Aucun utilisateur ne doit travailler avec un profil Administrateur
Publiez votre politique de sécurité
Formez et sensibilisez régulièrement votre personnel.
 Piratage d'un réseau sans fil type WIFI = vol d'informations sensibles, perte d'image
 Sécuriser les points d'accès : Liste dédiée de clients, clés de chiffrement WPA ou WPA2, Contrôle des adresses mac des équipements clients autorisés, comptes administrateur protégé, audit régulier du réseau.
Formez et sensibilisez régulièrement votre personnel.
 Piratage d'informations lors des échanges sur Internet = vol d'informations, perte de confiance des Donneurs d'ordre
 Sécuriser les échanges : Utilisation de technique de tunelling ou VPN réseau privé virtuels permettant de sécuriser les échanges qui sont cryptés.
Utilisation de protocoles PPsec et SSL/TLS.
 Perte de portable = risque de vol d'information, risque d'image, impact lié à la reconstitution des données
 Un portable doit être protégé par un mot de passe bios solide mais surtout ne doit pas comporter d'informations confidentielles. Si vous devez le faire cryptez les dossiers ou présentations sensibles avec un outil de cryptage ou transportez ces dossiers sur un support à part (clé USB cryptée par exemple).
Sauvegardez régulièrement les données des portables dans un espace données personnelles sur unserveur,
Formez et sensibilisez régulièrement votre personnel.
  
  
  


5-
Sauvegardez vos données :

Attaques virales, incendie, erreur humaine ou défaillance matérielle, les données de votre entreprise sont votre capital ! Il convient donc de leur apporter la plus grande attention procédant à leur sauvegarde en un lieu distinct de l'entreprise de façon systématique et si possible automatique.
Quelles sont les données à sauvegarder ?
Bien-sûr les fichiers de données de fonctionnement (clients, produits, transactions, stocks, logistique, compta, processus de fabrication, etc..), mais aussi : Messagerie, données personnelles des collaborateurs, données de paramètres, données techniques permettant de reconstituer les systèmes (ex: Windows ou Linux) en n'oubliant pas les données permettant de reconstituer le système de sauvegarde lui-même qui sont tout aussi indispensables pour assurer un redémarrage à partir d'une perte total de votre matériel initial comme en cas d'incendie par exemple.
Sauvegarder veut dire restaurer si nécessaire : procédez régulièrement à la vérification de vos sauvegardes en procédant à des essais de restauration des données sauvegardées.
Sauvegardées comment ?
Il existe de nombreuses solutions :
Centraliser si possible les données professionnelles et personnelles de vos collaborateurs sur un seul serveur de données, ce qui simplifiera les opérations de sauvegarde.
Sauvegardez les données de chaque système (Personnel ou Serveur) sur un support amovible (CD, DVD ou bande DAT)
Externalisez vos sauvegardes chez un prestataire spécialisé. Certains proposent ce service en mode ASP (en ligne et à distance) moyennant un abonnement.
Formez et sensibilisez régulièrement votre personnel.

6- Protègez votre réseau des attaques externes :

Ouverte sur le monde, votre entreprise est reliée à Internet. Il convient donc de veiller à ce que cette ouverture soit sécurisée par des solutions techniques logicielles ou matérielles constituant une architecture sécurisée.
Qu'est-ce qu'une architecture sécurisée ?
Plusieurs niveaux possibles en utilisant des Routeurs et de Parefeux (Firewalls).

Exemple d'architecture moyennement sécurisée :


Dans ce type d'architecture, les risques d'intrusion sont minimisés par la présence d'un firewall mais un pirate expérimenté trouvera rapidement le chemin de vos données critiques.
Image©SSi-Conseil



Exemple d'architectures sécurisées :

Architecture sécurisée avec DMZ :
Une DMZ ou zone démilitarisée est protégée par un routeur et un Firewall qui ne laissent "voir" de l'exterieur que les services Web et Mail, les autres serveurs notamment ceux du réseau local ne sont pas "visibles" depuis internet.
Le firewall situé entre le routeur et le réseau local empèche toute connexion de l'extérieur vers le réseau local et autorisera seulement les connexions depuis le réseau local vers un nombre limité des services.

Image©SSi-Conseil


Architecture avec zone de décontamination et DMZ :

Une zone de décontamination est insérée entre Internet et le réseau interne. Cette zone est constituée d'analyseurs de contrôle de contenu, Anti-virus de groupe , Anti-spam et autres utilitaires surveillant le trafic réseau comme les NDIS ou détecteurs d'intrusion. Un détecteur d'intrusion sera capable d'avertir utilement votre technicien (log) et de bloquer les attaques éventuellement en isolant le réseau de l'extérieur. Tous les flux entrants et sortants passeront par cette zone de décontamination. Les Proxys applicatifs peuvent aussi être programmés pour prendre la décision de couper la connexion en cas d'attaques ou simplement de rejetter la demande.
Cette zone permet de détecter la signature des attaques dans le flux des données provenant d'internet et d'éviter la propagation dans le reste du réseau.
.

Image©SSi-Conseil

Variantes:
Il est possible d'isoler le réseau local interne en plusieurs branches avec des switchs et d'équiper chacune des branches de détecteurs d'intrusion de type NDIS. Cette variante est très efficace mais reste couteuse.

7- Sécurisez vos postes utilisateurs :

Les plus grosses failles de sécurité sont internes.
Une protection individuelle de chaque poste de travail est impérative : Anti-virus, Firewall, antispam, antispyware, Mots de passe Bios et authentification (voir plus haut gestion des identités) , cryptage des données sur les postes nomades.
Les postes seront verrouillés par un outil de veille avec mot de passe lors des pauses,
Les anti-virus, anti-spam et antispyware seront remis à niveau par des procédures automatiques,
Un scan hebdomadaire sera programmé avec impossibilité de le reporter plus d'une fois,
Une sauvegarde hebdomadaire, si possible automatisée des données personnelles sera organisée,
Les postes nomades ne pourront se connecter via internet au lan que via un tunnel VPN.
Les postes nomades se reconnectant devront passer par une zone de décontamination ou par un processus de vérification du niveau des antivirus.
Formez et sensibilisez régulièrement votre personnel.

8- Soyez prêts à réagir :

Combien de temps pouvez-vous tenir sans Système d'information ?
Cette question doit guider vos choix de solutions de sécurité car la contrepartie est la perte partielle ou totale de chiffre d'affaire, voire la disparition de votre entreprise. Les statistiques sont formelles :  dans les deux ans qui suivent un sinistre majeur (perte totale du système d'information), une entreprise sur deux dépose son bilan. Plus de la moitié des entreprises françaises reconnaissent avoir subi, au cours des douze derniers mois, un arrêt non planifié de leur système d'information ayant provoqué une interruption de service ou de processus critiques pendant plus de deux heures. 47% seulement des entreprises françaises estiment être suffisamment préparées en cas de sinistre majeur (source Enquête Ernst & Young sur la sécurité des entreprises Françaises en 2003) Voir Enjeux en Chiffres.
Un jour ou l'autre donc une panne ou un incident grave surviendra. Afin d'en minimiser la durée,
mettez au point des plans d'urgence !
Que ce soit en cas de panne matérielle, d'attaque virale ou d'incendie, vous devez avoir pris les dispositions pour un retour le plus rapide à la normale.
Il est bon de se souvenir que l'informatique n'est pas votre coeur de métier et qu'il vaut mieux passer un peut de temps à prévenir les problèmes qu'à les subir lorsqu'ils arrivent,
Il est bon aussi de se rappeler qu'aucun assureur ne couvrira pas convenablement oupas du tout les couts de rattrapage du retard occasionné par un sinistre... Consultez votre assureur !.
voir aussi : Continuité d'Activité.
Formez et sensibilisez régulièrement votre personnel.

9- Contrôlez et Maintenez à jour votre politique de sécurité :
Une politique de sécurité n’est valable dans le temps que si elle est évaluée régulièrement contre les nouvelles menaces et les changements d’organisation ou de périmètre de l’entreprise.
La mise à jour régulière des procédures suivantes est impérative :
  • Anti-virus,
  • Anti-spam,
  • Anti-spyware,
  • Procédures de sauvegardes,
  • Procédures de sécurisation des échanges et connexion des postes nomades,
  • Procédures de sécurisation des réseaux sans fils,
  • Procédures de gestion des identités et habilitations des collaborateurs,
  • Plans d'urgence ou de continuité d'activité testé régulièrement
  • Charte ou Politique de sécurité diffusée à chaque mise à jour,
  • Formation et sensibilisation des utilisateurs.
Soyez attentifs aux changements suivants :
  • Changement de responsabilité des collaborateurs. Leur niveau d’accès aux données et applications critiques doit être géré en permanence.
  • Embauches. Le niveau d’accès aux données et applications critiques des nouveaux collaborateurs doit être défini.
  • Départs. Supprimer connexions et mots de passe des collaborateurs quittant l’entreprise.
  • Evolutions. Tester les nouvelles applications, nouveaux postes de travail, nouveaux réseaux, nouvelle version du site web, …
  • Renouvellement des menaces. Le système d’information doit faire face à des menaces externes sans cesse renouvelées (nouveaux virus ou vers, nouvelles vulnérabilités…).

10-
Communiquez, sensibilisez, controlez,
Formez et sensibilisez régulièrement votre personnel.

Voir aussi :
Les 40 mesures d'hygiène informatique de l'ANSSI
5 briques pour bien se protéger : LMI Solutions PME par Olivier Descamps
60 erreurs de sécurité à ne pas commettre : JDN Solution par C. Auffray
Le principe de Ranum : 6 idées stupides sur la sécurité des systèmes d'information : Marcus Ranum traduit par SSi-Conseil
Les 10 commandements pour naviguer sur Internet : Le Portail de la Sécurité Informatique











Dernière mise à jour : ( 11-10-2012 )
< Précédent
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.