Sécurité
Il est de la responsabilité d’un chef d'entreprise de bien veiller à la sécurité du patrimoine numérique de sa société car sa responsabilité civile ou pénale peut être engagée en cas de manquement avéré.
Les failles de sécurité
Moins bien équipées en terme sécurité, les TPE et PME sont bien plus vulnérables que les grandes entreprises face à des attaques de hackers.
Les failles de sécurité les plus courantes sont liées à une méconnaissance des risques de la part des utilisateurs.
- Les emails : première source de diffusion de malwares ou ransomwares. C’est le point d’entrée favori des hackers !
- Une mauvaise gestion des mots de passe permettant l’accès aux données stockées
- Le nombre important d’appareils reliés au réseau de l’entreprise, la multiplication des accès et la mobilité
Force est donc de constater qu’au-delà d’une politique de sécurité souvent inexistante, les premières sources de risque demeurent donc les mauvaises pratiques de vos collaborateurs.
Plan de reprise ou de continuité d'activité
Nul n’est à l’abris d’une faille de sécurité.
En cas de destruction ou de corruption du système d’information de l’entreprise, des mesures existent-elles pour permettre un rétablissement rapide de la situation ? Il est primordial pour l’entreprise, en cas de « sinistre », de pouvoir reprendre ses activités dans les meilleurs délais. Il est bon de noter que la perte d’exploitation (potentiellement fatale) liée à l’absence de sécurité n’est que rarement (voir jamais) couverte par les contrats d’assurance !
La politique de sécurité
Les mauvaises pratiques sont généralement liées à un simple manque d’information aux utilisateurs. Il est donc essentiel de déterminer et de communiquer les règles en matière de sécurité.
Un simple document écrit et accessible à tous est un premier pas. Expliquant les risques inhérents à un système d’information vulnérable, il résume également les règles de sécurité de l’entreprise en détaillant :
- Les obligations en matière de mots de passe
- Les règles de sécurité concernant le web, la messagerie et les téléchargements
- Les obligations concernant l’installation de nouveaux logiciels
- et de manière générale, la responsabilité de l’utilisateur en cas de non-respect de la politique de sécurité.
Constituant une forme « d’éducation », cette politique de sécurité s’inscrit dans une démarche de sensibilisation des utilisateurs.
La politique de sauvegarde
La quantité de données stockées par les entreprises se multiplie de jour en jour et constitue le patrimoine numérique de l’entreprise.
En cas de perte, cette mémoire de l’entreprise est impossible à reconstituer et le préjudice s’avère en général très important (sur le plan opérationnel et, naturellement, financier).
Au-delà de la sécurisation des accès, il est donc primordial de :
- Identifier les « lieux » de stockage de l’information : ceux-ci ont tendance à se multiplier…. et à être oubliés….
- Idéalement, centraliser les informations dans un lieu unique et sécurisé
- Sauvegarder ou répliquer ces informations vers un support distant de l’entreprise : le cloud est une excellente piste
- S’assurer régulièrement de l’accessibilité et de l’intégrité des sauvegardes
Sécurisation du réseau d’entreprise
Les entreprises sont de plus en plus confrontées à des attaques extérieures de leur réseau, facilitées par l’absence d’organes de sécurité permettant un accès distant aisé. La cyber sécurité passe donc également et impérativement par une installation rigoureuse de pare-feu (firewall) et proxy permettant de bloquer toute tentative d’intrusion, mais également par la sécurisation de vos accès wifi et de tout accès distant.
L’absence de sécurité sur les terminaux mobiles (ordinateurs portables, tablettes, smartphones) qui peuvent potentiellement êtres égarés ou volés favorise également l’accès frauduleux à vos informations. Le cryptage (ou chiffrage) des données sensibles peut venir en complément de la sécurité physique en ne permettant la consultation ou l’utilisation qu’aux personnes habilitées.
Il faut garder à l’esprit, qu’au-delà de la valeur intrinsèque des données pour l’entreprise, le RGPD (Règlement Européen sur la Protection des Données Personnelles) engage la responsabilité de l’entreprise en cas de vol ou de détournement des informations détenues.
Calista System intervient auprès des entreprises pour auditer les installations et process. Que votre structure soit petite ou grande, nous répondons à vos besoins !