10 mesures pour la sécurité informatique d'une entreprise
Ces dix actions simples améliorent grandement la sécurité informatique d'une entreprise.
PublicitéAction 1 : Impliquer la direction de l'entreprise L'équipe de direction comporte les personnes les plus exigeantes en matière de productivité et elle valide les budgets alloués à la sécurité. Ces deux raisons font de l'implication de la direction une priorité. En l'absence de soutien de l'équipe de direction, il est très probable que de nombreuses demandes demeurent bloquées à jamais. Action 2 : Impliquer la direction informatique La sécurité demande une forte collaboration de tous les services. Même si le responsable de la sécurité devrait toujours être indépendant de la direction informatique sur le plan hiérarchique, dans la majorité des cas, l'équipe sécurité fait partie du service informatique. Il est donc indispensable que les mesures de sécurité soient adaptées aux contraintes de l'entreprise. Action 3 : Impliquer et informer tous les employés Contrairement aux apparences, la majorité des attaques n'utilise pas de « failles » informatiques. Un simple appel au standard suffit à obtenir des informations importantes. Il n'y a aucune raison pour qu'un employé fasse attention à la sécurité si on ne lui a pas expliqué ce que cela signifie. Action 4 : Rentabiliser les priorités On oppose souvent sécurité et rentabilité. Pourtant, un responsable de la sécurité doit penser constamment à la rentabilité de ses actions. Répondre au risque le plus coûteux pour la société doit être une priorité. N'oublions pas qu'il faut convaincre la direction que les mesures souvent coûteuses que le responsable sécurité va prendre sont rentables. La rentabilité d'une bonne solution de sécurité est souvent indiscutable, mais il est toujours préférable d'évaluer le risque avant plutôt que de payer les conséquences de son absence. Action 5 : Choisir les (bons) produits Un bon produit de sécurité est un produit qui élève fortement le niveau de sécurité et qui préserve la productivité des employés. Il n'est utile que s'il est utilisé. Un produit compliqué à mettre en oeuvre finira immanquablement par ne plus répondre aux besoins de l'entreprise. La technologie liée à la sécurité est importante, et certaines technologies sont indispensables à un bon niveau de sécurité : la prévention d'intrusion dite « sécurité proactive », l'analyse antivirale, la protection efficace contre le spam, etc. Tous les éditeurs de sécurité diront que leur produit est le meilleur. Une comparaison point par point permettra de définir par exemple ce que signifie « sécurité proactive » pour chaque vendeur. Si le responsable sécurité en a la possibilité, le mieux est encore de faire comparer différents produits par une société qui ne sera pas impliquée dans l'achat. Action 6 : Choisir les produits adaptés à l'entreprise Un produit s'achète pour plusieurs années, ce n'est pas spécifique à la sécurité. Il est nécessaire d'estimer le coût total de l'achat de ce produit pour une période de 3 ans, et pas simplement le prix du produit seul qui ne reflète pas le coût total. Si le nombre d'employés double tous les 2 ans, il est préférable d'acheter un produit qui puisse supporter cette croissance. Action 7 : La complexité est un ennemi Ce conseil est général mais il s'applique particulièrement aux mesures qui concernent les utilisateurs. Par exemple, si l'on force tous les mots de passe à être robustes, on les retrouve écrit sous le clavier ou sur une tasse de café. Plusieurs méthodes permettent de choisir des mots de passe robustes et faciles à retenir. Il s'agit de trouver une méthode pour que la sécurité soit acceptée. Action 8 : « Couper le câble » La meilleure sécurité réseau consiste à être débranchée du réseau. Si une ressource doit être partagée, il faut en limiter l'accès aux seules personnes autorisées. Cette règle de bonne conduite est moins simple qu'elle n'y parait. Les audits montrent qu'après le départ d'un employé, de nombreux accès restent ouverts plusieurs semaines voire plusieurs mois. Action 9 : Surveiller les vulnérabilités Le niveau de protection apporté par les solutions de sécurité a beaucoup évolué ces dernières années, mais l'application méthodique des correctifs sur les applications vulnérables reste nécessaire. Personne ne songerait à sortir en sous-vêtements sous prétexte qu'il est vacciné contre la grippe, alors pourquoi imposer cela à une entreprise ? Action 10 : Ne pas oublier Le niveau de risque évolue constamment : nouveaux virus, nouvelles failles, arrivée et départ d'employés, etc. L'achat d'un produit n'est pas la fin d'une démarche, mais sa ligne de départ. Améliorer ses connaissances et tester régulièrement la sécurité de l'entreprise est nécessaire. C'est de cette manière que l'entreprise restera en sécurité.
Article rédigé par
Jérémy d'Hoinne, Directeur marketing produits NETASQ
Jérémy d'Hoinne est titulaire d'un diplôme d'ingénieur en réseau et sécurité obtenu à l'EPITA.
Il a contribué au succès de nombreuses missions de conseil dans le domaine des tests d'intrusion, de la sécurité et du réseau chez Thales et Arthur Andersen Business Consulting.
Jérémy d'Hoinne a intégré NETASQ au sein du département R&D dans lequel il a exercé les fonctions de chef de projet et de responsable de la veille sécurité. Il a rejoint ensuite le département Marketing pour être responsable de la stratégie et du cycle de vie des produits NETASQ et demeure l'un des experts sécurité de NETASQ.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire