ADP

RH info : site d'actu et d'information sur les ressources humaines.

RSS

Le digital c'est bien, la sécurité c'est mieux !

visuel_digital_et_securite.jpg

 

La transformation digitale de l’entreprise implique une numérisation de plus en plus de processus avec l'adoption de technologie sur l’ensemble des métiers avec un accroissement de données de plus en plus sensibles et capitales pour l’entreprise et ses clients. Cette digitalisation induit donc de nouveaux scénarios de risques sur les systèmes d’information, que l'on fasse partie d'une grande entreprise, d'une PME ou même que l'on soit indépendant.

En sécurité, personne n’est épargné

Toutes les entreprises, tous les secteurs d’activités, personne n’est épargné. Si les Ashley Madison, Sony, TV5Mondes et récemment Yahoo ont fait les unes de la presse, d’après une étude de HTTPCS, les attaques sont toujours plus nombreuses et sophistiquées et ciblent à 77% les PME. Après un piratage, ces dernières sont 44% à constater un impact négatif sur leur chiffre d’affaire, 60% des victimes ne maintiennent pas leur activité.

En avril 2016, une PME a dû payer une rançon pour récupérer ces données cryptées par des pirates (Ransomware).

stats_digitall_et_securite.png

Si les grandes sociétés sont pourvues de service de sécurité, les TPE, PME mais aussi les indépendants n’en n’ont pas les moyens ce qui les met d’autant plus à risque et donc à la merci des pirates.

En France, la Loi de Programmation Militaire de 2013 renforce les obligations de sécurité des OIV (Opérateur d’Importance Vitale) et les pouvoirs de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). La cyber sécurité doit être considérée comme une problématique de management des risques, qui dépasse largement le périmètre informatique. Mais quid des TPE, PME et autres sociétés ?

Quels sont les principaux risques ?

Risques juridiques : l’hébergement, la consultation ou la manipulation de données à caractère personnel ne respectant pas le cadre de loi local. Pour beaucoup d’information personnelles, ces données doivent être hébergées dans la communauté européenne.  Une nouvelle réglementation européenne, GDPR, va rentrer en application en mai 2018 pour renforcer la protection de la vie privée des salariés et des consommateurs.

Atteinte à l’e-réputation : l’impact et le risque sont accentués par la multiplication des canaux de communication que l’entreprise a déployés dans le cadre de sa stratégie numérique (pages Facebook, LinkedIn, Viadeo, forums, sites web, Blog, Twitter, …).

Fuite de données stratégiques et/ou confidentielles : la multiplication de nouveaux usages (BYOD/mobilité, télétravail, plateformes collaborative, …) complexifie la sécurisation des informations manipulées et augmente ainsi le risque de fuite de données sensibles.

La Cybercriminalité : depuis des mois, il ne se passe pas une journée sans que l’on entende parler de cybercriminalité. Elle s’investit dans tous les domaines, tous secteurs d’activités, chez tout le monde et personne n’en est à l’abris, pas même vous et moi. Récemment, certains grands sites américains (Twitter, Netflix… n’ont plus été accessible pendant plusieurs heures)

Le manque de culture numérique : Les principales sources de danger sont plus liées au manque de culture numérique des dirigeants comme des salariés de l’entreprise. Un défaut de stratégie numérique, une mauvaise gestion des ressources humaines lors du « passage » au numérique ou des problèmes liés à la dématérialisation des rapports humains sont autant de risques majeurs qui peuvent entrainer d’importants dommages pour l’entreprise.

Mais que faire alors ?

Pas de panique. Il ne s’agit pas de créer son propre fort Knox mais d’appliquer certaines règles de bases dans un premier temps.

Je ne vais pas faire ici l’inventaire de l’ensemble des dispositions à prendre pour couvrir l’ensemble de ces risques, ça ferait l’objet d’un article de 500 pages expliquant des solutions techniques très complexes et coûteuse à mettre en œuvre. Ce n’est pas le but cet article que je souhaite simple et de vulgarisation.

Avant de faire appel à des audits coûteux et donc des solutions lourdes et demandant des investissements importants, le simple fait de respecter des pratiques de bases et de bon sens, réduit de plus de 90% ces risques.

Quelles sont ces règles de bases ?

Règle #1 : Maintenez vos logiciels à jour

Une majorité des pirates vont profiter des failles qui se trouvent sur votre ordinateur et serveurs. C’est pourquoi il est fondamental de mettre à jour tous ses logiciels afin de corriger ces failles. La cyber-sécurité répond à la cybercriminalité.

Que ce soit Microsoft, Apple, Adobe ou autres éditeurs, tous proposent des mises à jour de sécurité régulières qui corrigent les failles connues. Juste ça, peut réduire les risques d’attaques de 85%. Aussi, 50% des vulnérabilités sont exploitées dans les 2-4 semaines suivant leur découverte. Ne tardez pas !

Règle #2 : Ayez une bonne politique de gestion de mot de passe 

Déterminer des règles de choix, de longueur et de renouvellement et faites les respecter.

Stop avec les 1234567, Admin, password, AZERTY, prénom, date de naissance, de votre chat…. Et rien qui puisse être trouvé facilement sur les réseaux sociaux comme Facebook.

Choisissez des mots de passe composés si possible de 8 caractères minimum de type diffèrent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance...) et ne figurant pas dans le dictionnaire

Changez-les périodiquement. 2 à 3 fois par an ça sera déjà très bien.

Regardez cette vidéo, vous comprendrez !         

Règle #3 : Méfiez-vous de certains mails 

Vérifiez la cohérence entre l'expéditeur présumé et le contenu du message. Ne vous jetez pas sur tous les mails que vous recevez sans en vérifier la provenance et/ou si le contenu vous semble douteux.

Vous éviterez le fameux « phishing » qui vous demande de vous connecter à votre banque ou à des ressources informatiques de votre entreprise. Abstenez-vous si vous avez le moindre doute ! Personne ne vous en voudra. Au pire vous recevrez une relance.

Regardez cette vidéo qui montre comment il est facile de se faire piéger par un mail.

Règle #4 : Protégez-vous

N'hésitez pas d'investir dans un bon anti-virus que vous protégera non seulement des virus mais aussi d’autres risques.

Règle #5 : Crypter vos disques  

Si vous utilisez un portable, activer le cryptage du disque interne. En déplacement, si vous le perdez, ou vous vous le faites voler, vos données resteront secrètes. Que ce soient Microsoft ou Apple, des solutions de base existent. Activez-les !

Règle #6 : La sécurité, ce n’est pas tabous 

Dans les grandes entreprises, il y a des chartes d’utilisations, des formations sur la sécurité, des rappels en cas de manquement, ce qui n’est pas le cas dans les plus petites structures. Une solution : parlez de ces risques avec vos collaborateurs. Échanger avec eux pour identifier vos données les plus sensibles et qu’elles soient bien connues et protégées. C’est le plus important.

Seulement 35 % des employés estiment que la protection des données est une priorité majeure pour la direction. Mais que fait la direction ?

Règle #7 : Sauvegardez

Faites des sauvegardes de vos données. Le plus important, en termes de prévention, reste la sauvegarde des données sur des supports externes (Clés USB, Disque dur externe, NAS) qui devront eux aussi cryptés. On ne le répètera jamais assez.

Je me souviens l’appel d’un client désespéré car il avait tout perdu suite à un incendie. Un autre avait tout sur son PC dont le disque dur avait décidé de prendre une retraite anticipée.  Ces 2 personnes ont failli d'être obligé de fermer leur activité. Heureusement, ayant fait une intervention chez eux, j'avais une sauvegarde de leurs données que je n'avais pas encore détruite.

Réalisez des sauvegardes périodiques, testez-les pour être certain qu’elles soient exploitables et externalisez-les, éventuellement dans le cloud via des prestataires spécialisés comme OVH, Chezcloud.fr, Microsoft Azure ou encore Amazon Web Service.

Règle #8 : Sécurisez votre accès Wifi

Vérifiez que votre wifi soit chiffré avec le protocole WPA-2 ou WPA-AES associé à un mot de passe fort. Ne pas le distribuer à des personnes extérieures à votre entreprise pour connecter leur PCs/Tablettes. Vous ne connaissez pas leur niveau de protection et de sécurité.

Règle #9 : Soyez attentif lors de vos déplacements

Evitez d'utiliser les wifi gratuits pour vous connecter aux ressources de votre entreprise sans mesures de protection adéquat comme un VPN.

Ne jamais laisser votre PC/tablette sans surveillance dans un endroit public ou dans sa voiture. Il est même préférable de mettre un mot de passe de session et de s'assurer de bien fermer sa session avant de partir de sa chambre d'hôtel par exemple.

Règle #10 : Pensez au Cloud

Le service Cloud repose sur la mutualisation des serveurs de façon à les optimiser. Dans cette mesure, il propose les mêmes garanties de sécurité aux PME qu’aux grandes entreprises. Les PME ont alors la garantie d’accéder aux dernières technologies de sécurité que celles qu’exigent les grandes entreprises. Cette exigence se base sur la sécurité mais également sur des critères de confidentialité et de qualité des services

Et pour conclure

Vos données, sont votre capital.

J’espère que vous avez trouverez ces points utiles et que, si ce n'est pas encore fait, vous les mettrez en pratique chez vous rapidement. La sécurité est une affaire de tous. Mon expérience me démontre souvent que même les règles de bases ne sont pas appliquées. Assurons-nous que ces basiques fassent bien partie de notre vie toujours plus numérique, et nous aurons fait un grand pas vers la sécurité..
 
Le sujet n’est pas clos, loin s’en faut. Faites-moi part de vos commentaires, avis, éventuelles difficultés ou tout simplement de votre expérience afin de les partager.


Références : 

Piratage informatique : 5 idées reçues à vite oublier !
 
Une PME du Béarn verse une rançon à des pirates informatiques

Affaire Ashley Madison : Restez fidèle à vos clients, protégez-vous des cyberattaques
 
77% des cyberattaques ciblent les PME

Le cloud, une arme anti-pirates pour les PME

CIGREF Cybersécurité : Les 4 films de la Hack Academy

CIGREF : Les risques numériques pour l’entreprise
 
ANSSI : Le Guide des bonnes pratique pour les PME

ANSSI : Le Guide d’hygiène informatique
 
Du RSSI au Directeur des risques numériques
 

 

Auteur

pascal_baratoux.jpeg

Directeur de la relation entre l'organisation internationale de la production informatique et des différentes business units chez ADP, passionné...

pascal_baratoux.jpeg

Pascal Baratoux

Directeur de la relation entre l'organisation internationale de la production informatique et des...

Du même auteur

visuel_evolution_profesionnelle_10_shutterstock.jpg

Management et innovation

visuel_evolution_profesionnelle_10_shutterstock.jpg

Management et innovation

 Les pratiques managériales actuelles sont-elles un frein à l’innovation et à la croissance de l’...

Par Pascal Baratoux, le 01/06/2015

visuel_organisation_et_communication_17_shutterstock.jpg

Innovations technologiques

visuel_organisation_et_communication_17_shutterstock.jpg

Innovations technologiques

La fonction RH doit-elle s’adapter aux innovations technologiques ? La RH doit accompagner les...

Par Pascal Baratoux, le 26/04/2015