Espace revendeurs et partenaires
Logo Open Host
RechercherLoupe Ticket Contactez-nous
Espace revendeurs et partenaires
Loupe

Comment renforcer la sécurité informatique des entreprises ?

Sécurité Publié le 2 mars 2016 par Emilie Olek

Les données informatiques sont-elles protégées ?

Une question récurrente a vu le jour ses dernières années : « Mon informatique est-elle sécurisée ? » En effet, face à de nombreuses affaires de détournement, fraudes de mails, phising, fuites en tout genre, les chefs d’entreprise et les SI s’interrogent sur la sécurité de leur infrastructure. Et ce sujet est fréquemment abordé par nos clients qui nous demandent  si nos solutions d’hébergement sont- sécurisées… La réponse est oui, bien sûr !

En attendant, il nous a semblé essentiel de vous faire partager notre savoir-faire en termes de sécurité. Pour cela, nous avons choisi d’engager un cycle d’articles sur le thème de la sécurité informatique afin de vous apporter un premier éclairage sur cette fameuse notion qui agite tout un chacun.

Cet article est donc destiné à tous ceux qui souhaitent engager un premier pas dans la protection de leurs outils de production, dont une grande partie se base sur des équipements et des données informatiques (considérés comme des actifs de l’entreprise : information, logiciels, ordinateur…).

Voici un état des lieux qui vous permettra de mieux appréhender les enjeux de la sécurité informatique de votre entreprise.

 

Qu’entendez-vous derrière le terme « mes données sont-elles sécurisées » ?

Cela peut donc vouloir dire :

  • Les données hébergées chez mon prestataire risquent-elles de disparaitre, d’être perdues ?
  • Le service auquel je souhaite m’abonner (Exchange, SharePoint, serveur dédié) est-il fiable, sera-t-il disponible à chaque fois que j’en aurai besoin ?
  • Les données qui vont transiter ou être stockées chez Openhost peuvent-elles être consultées par d’autres personnes que moi (ou mes collaborateurs autorisés à y accéder) ?
  • Le personnel technique de mon hébergeur peut-il accéder à mes données, peut-il lire mes fichiers ? Un pirate peut-il faire de même ?
  • Si je stocke des contrats, des ordres de virement bancaire, des commandes, des factures, suis-je certain que personne ne va modifier ces données (exemple : changer le montant d’une facture, ou la quantité d’une commande) ?
  • Me sera-t-il possible de suivre les modifications qui sont apportées à mes données afin de tracer les changements effectués et ainsi pouvoir détecter un problème dans mes processus métiers (exemple : quelqu’un cherche à couvrir une erreur commise en changeant postérieurement le contenu d’un fichier) ?
  • Comment sont régis les accès aux services informatiques ?
  • Comment puis-je faire pour être certain que mes données ne sont pas modifiées durant le transfert de mes équipements vers ceux d’un destinataire ?
  • Comment puis-je prouver à mes clients, à qui j’envoie régulièrement des données, que je suis bien celui que je prétends être et que ce n’est pas un usurpateur qui se fait passer pour moi (spam, cheval de Troie, cryptolocker) ?

Protéger vos données en fonction de vos enjeux métier

Vous pouvez ainsi voir que les sources d’inquiétude sont nombreuses et de plusieurs types. La sécurité informatique recouvre donc de nombreux thèmes et est bien souvent spécifique aux problématiques métier que vous rencontrées en tant que professionnel.

Vous définissez ainsi le niveau de priorité à allouer en fonction de votre situation :

  • Par exemple, une société industrielle est victime d’un incendie et perd son fichier clients (ou sa comptabilité, stratégie, R&D…) car elle n’a pas effectué de sauvegarde externalisée, que risque-t-elle ?
  • Un cabinet médical dispose de données confidentielles sur ses patients. Si le système est corrompu, les risques sont majeurs pour les patients. A contrario, une indisponibilité de serveur durant 5 minutes passera au second plan. Donc si jamais il subit une rapide panne d’électricité, son activité ne sera pas totalement handicapée.
  • A contrario, une société de 200 salariés qui subit une perte d’accès informatique durant 30 min car quelqu’un a débranché un serveur, voit sa production impactée par cet incident.
  • Un cabinet d’avocats d’affaires devra-t-il envisager le fait qu’il puisse se faire cambrioler tous les PC, serveurs et backup stockés en local ? Ce même cabinet devra-t-il voir un risque majeur de perte de confidentialité si, en cas de vol, les données de ses clients ne sont, en fait, pas chiffrées et seront donc perdues dans la nature…Avec le risque d’être effacées, transformées ou corrompues. Et une image de marque qui en pâtît.

Il ne faut pas oublier qu’en termes de sécurité, quelle que soit la discipline concernée, la mise en place des mesures permettant d’améliorer le niveau de sécurité se fera toujours en fonction des menaces auxquelles la structure est exposée, de la probabilité que ces menaces se produisent et de l’impact qu’elles auront sur son activité.

Commencez à lister l’ensemble des menaces auxquelles votre structure peut être exposée peut s’avérer anxiogène, alors vous pouvez déjà engager un premier travail au travers des bonnes pratiques que nous allons vous délivrer et en faisant appel à nous car nous sommes des experts.

 

Quels sont les critères de sécurité en entreprise ?

Dans les définitions qui suivent, nous avons ajouté la définition officielle de l’ISO27000. Et nous prendrons l’habitude dans nos autres articles d’y faire référence afin que vous puissiez, petit à petit, vous familiariser avec elle.

Voici donc les 4 enjeux sous-jacents à la notion globale de « sécurité ».

L’intégrité des données professionnelles

L’intégrité peut se résumer au fait d’avoir la garantie que vos données ne seront pas modifiées et resterons donc fiables (ou encore selon l’ISO « propriété de protection de l’exactitude et de la complétude des actifs »). Cela parait évident, mais en pratique que se passerait-il si quelqu’un pouvait modifier, au sein de votre messagerie électronique, un mail qui contient une facture, un contrat, un devis ? En cas de litige, vous iriez consulter ce fameux mail et vous constateriez le changement. Et bien sûr, vous n’avez aucune trace, donc aucune preuve, de qui a pu faire cette action de modification dans votre dos. Ainsi, l’intégrité des données peut être étendue à l’ensemble des informations numériques stockées ou traitées par les systèmes informatiques : messagerie, Drive dans le Cloud, logiciel de paie, comptabilité, CRM, ERP, site e-commerce, système transactionnel de commande…

  • En résumé : en améliorant le processus d’intégrité de vos données, vous les rendez inaltérables.
  • Le périmètre de l’intégrité des données : toutes vos données n’ont peut-être pas besoin d’être traitées avec le même niveau d’intégrité. Priorisez ! Quelles sont les données vitales, essentielles qui, en cas de « transformation » risqueraient de compromettre l’activité ?
  • Les limites de l’intégrité : il est parfois suffisant de savoir qu’une donnée a été altérée et donc qu’elle n’est plus fiable. Car le simple fait d’en être informé fera que vous ignorez cette donnée. Dans certains cas, le fait de pouvoir revenir à la version originale n’est peut-être pas systématiquement obligatoire.

La disponibilité des données

Cette seconde caractéristique de la sécurité informatique concerne le fait que vous puissiez avoir la certitude de pouvoir accéder aux services, aux outils et aux équipements informatiques quand vous en avez besoin. La donnée doit être disponible. La définition donnée par l’ISO est la suivante : « propriété d’être accessible et utilisable à la demande par une entité autorisée ».

  • Si par exemple vous choisissez de vous abonner à un service de travail en mode « Bureau distant », comme un logiciel de comptabilité ou un CRM, vous êtes en droit d’attendre de pouvoir travailler le soir, le week-end.
  • A titre d’exemple, sur nos infrastructures, le niveau de disponibilité pourra donc dépendre de la solution que vous avez choisie pour votre projet d’externalisation informatique. Vos exigences deviendront des objectifs contractuels que nous respecterons.

Le niveau de disponibilité 

Ce niveau de disponibilité de vos services s’incarne souvent au travers de SLA (Service Level Agreement). La disponibilité se mesure souvent sous la forme d’un pourcentage représentant la durée, durant un mois calendaire, pendant laquelle le service est disponible. Une disponibilité de 99.95% indique que le service peut être indisponible, ou partiellement indisponible, pendant 0.05% du mois.

Ainsi, avec  0.05% d’indisponibilité, le service peut être interrompu 22 minutes.

En résumé, la disponibilité c’est…  De pouvoir utiliser la ressource informatique quand je le souhaite tout en acceptant un % d’indisponibilité que j’ai défini contractuellement avec mon fournisseur.

Le périmètre de la disponibilité : La disponibilité s’applique aussi bien au matériel qu’aux logiciels,  qu’aux ressources humaines.

Les limites de ce principe dans les faits :

  • Exemple A : en déplacement en avion devez-vous pouvoir vous connecter à votre bureau distant ? Cette situation ne fait pas partie de la sécurité informatique, mais des usages.
  • Exemple B : pour réduire les coûts, vous pouvez choisir de bâtir une architecture applicative qui ne soit pas en haute disponibilité applicative. Lors des mises à jour, vous devrez informer les utilisateurs que durant la plage horaire de maintenance, le service sera indisponible. Mais cette situation peut être acceptable si les mises à jour sont faites la nuit ou le week-end. Mais que se passe-t-il en cas de panne d’un serveur ?

 

La confidentialité des données

C’est certainement la facette de la sécurité informatique la plus simple à cerner. Au travers de la confidentialité,  vous souhaitez que vos données ne soient pas exposées aux quatre vents. L’ISO elle, la définit comme « propriété selon laquelle l’information n’est pas rendue disponible ou divulguée à des personnes, des entités ou des processus non autorisés ».

Mais en fait, de quels yeux voulez-vous protéger vos données ?

  • Dans bien des cas, la première demande s’applique à vos données professionnelles afin qu’elles ne soient pas (forcément) accessibles à tous les collaborateurs de votre entreprise qui partagent avec vous un des services auxquels vous êtes abonnés (messagerie Exchange, Site collaboratif SharePoint, Serveur dédié à accès distant, etc.). Sachez que des solutions de chiffrement existent qui permettent de brouiller le contenu des messages de sorte que seules les personnes disposant de la clé de chiffrement appropriée pour les déchiffrer puissent les lire.
  • Dans un second temps, vous souhaitez aussi vous assurez qu’un internaute ne puisse pas se connecter à votre messagerie ou à vos serveurs. Que cet internaute soit un étudiant-pirate en mal de frissons ou un de vos confrères avec qui vous êtes en concurrence acharnée sur un important dossier.
  • Dans un troisième temps, vous voulez naturellement vous assurer que les équipes techniques de votre hébergeur, à qui vous avez directement ou indirectement confiés vos données, respectent une confidentialité absolue.

 

Définir le périmètre de confidentialité des données (ou des fichiers) :

La confidentialité, c’est aussi de restreindre l’accès aux données aux seules personnes qui en ont vraiment besoin. Plus la donnée est critique pour l’entreprise, plus le nombre de personnes y ayant accès se réduit et plus les contrôles d’accès sont stricts. Exemple : Un PDG doit-il pouvoir accéder avec son IPhone au serveur de fichiers qui contient le plan stratégique de la société ? Vaste débat. J’en vois d’ici certains sourirent !

Des règles simples qui peuvent éviter bien des risques à l’entreprise :

N’oubliez pas que la meilleure façon de perdre la confidentialité de ses données est de mal gérer sa politique de mots de passe

  • Stocker les mots de passe dans des fichiers texte par exemple… Des solutions de coffre-fort numérique avec chiffrement existent, utilisez-les.
  • Mais c’est aussi de brancher son IPhone sur un chargeur 220 qu’un inconnu vous met aimablement à disposition ou d’utiliser une superbe clé USB que l’on vous a offert dans un salon professionnel.

La confidentialité est une discipline au long cours, mais qui peut exiger un certain nombre d’effort… Malheureusement, il faut bien souvent attendre l’accident pour changer de comportement… Alors que des règles simples suffiraient à éviter la catastrophe.

La traçabilité 

Dans certains usages, pour ne pas dire métiers, vous pouvez avoir besoin de suivre précisément le cheminement des données et leurs modifications. Les processus de traçabilité vont vous permettre de pouvoir garantir aux instances dirigeantes de votre entreprise, comme auprès de vos clients, (mais aussi partenaires ou organismes gouvernementaux) que vous êtes capable de tracer le cheminement de l’information au sein de votre système d’information et de rendre des comptes, en cas de besoin.

Vous pouvez, à titre d’exemple simple, évoquer le fait de tracer les accès des utilisateurs aux outils informatiques, mais aussi de tracer les modifications apportées à des documents. Dans certains cas, même, la législation peut vous obliger à garder des traces d’échanges, de fichiers, d’accès à des ressources et ce pendant plusieurs mois.

La non-répudiation

Ce point, souvent oublié, est pourtant souvent présent quand vous recherchez une information afin de prouver que vous avez raison face à un tiers. L’ISO la caractérise comme « la capacité à prouver l’occurrence d’un événement ou d’une action donné(e) et des entités qui en sont à l’origine ».

  • Exemple : le mail qui prouve bien que vous aviez bien précisé de livrer le matériel à Paris et non à Marseille. Mais pour cela il vous faudra vous appuyer sur un système qui pourra garantir aux deux parties que l’échange de l‘information a bien eu lieu. C’est-à-dire que la transaction informatique s’est bien déroulée et que les deux parties ont chacune de leur côté la même version de l’information.

 

L’authentification (emails professionnels, connexion serveur…)

Ce dernier point ne concerne pas seulement le fait d’identifier un utilisateur qui souhaite se connecter à une ressource informatique et à qui on va demander un identifiant et un mot de passe, l’authentification, c’est aussi le fait de s’assurer que la personne avec qui vous effectuez un échange, une transaction, est bien celle que l’on croit être.

  • Un exemple simple est celui de la messagerie électronique qui aujourd’hui encore permet à un adolescent de 12 ans d’envoyer un mail en se faisant passer pour son professeur de physique.
  • Usurper l’identité est simple. En messagerie, chez Openhost, vous pouvez utiliser la signature électronique pour garantir à vos correspondants que vous êtes bien celui que vous prétendez être.
  • La double authentification, que l’on appelle aussi l’authentification forte, fait souvent appel au téléphone mobile de l’utilisateur qui cherche à se connecter. Le système d’authentification lui enverra sur son smartphone un message qu’il devra acquitter (en plus du login/password) pour valider l’ouverture de sa session.

Voici déjà un état des lieux des enjeux multiples se cachant derrière la notion de sécurité informatique. Nous pouvons vous aider à définir vos niveaux de priorité mais également vous proposer des solutions sécurisées qui vous permettront de réduire drastiquement votre niveau de risque. Passant actuellement la certification ISO 27001, Openhost est le bon interlocuteur pour répondre à vos problématiques de sécurité informatique (sécuriser vos mails professionnels, serveurs…).

Dans un prochain article, nous parlerons de ces solutions plus en détail, mais en attendant, n’hésitez pas à nous contacter pour en parler.

Autres actualités

Mobilité et Sécurité avec la solution Enterprise Mobility + Security EMS !
Sécurité Publié le 4 août 2017 par Emilie Olek

Mobilité et Sécurité avec la solution Enterprise Mobility + Security EMS !

Mobilité en entreprise rime forcément avec risques de sécurité supplémentaires. Si un employé a l’habitude de travailler depuis son Ipad ou utilise son smartphone durant ses déplacements professionnels, vous ne pourrez pas l’empêcher de les utiliser sans engendrer une grande frustration. Mais comment sécuriser ces différents devices pour permettre leur utilisation en maintenant l’intégrité des […]

Lire la suite
Réussir sa migration vers SharePoint 2016
Sharepoint Publié le 13 octobre 2015 par Emilie Olek

Réussir sa migration vers SharePoint 2016

Nos experts techniques vous proposent de parler un peu de votre migration SharePoint chez Openhost. Plusieurs cas de figures s’offrent à vous : la migration de SharePoint 2003 ou 2007 vers SharePoint 2013 ou SharePoint 2016, ou encore SharePoint 2010 vers SharePoint 2013… Et désormais SharePoint 2016 ! En ce moment la migration vers SharePoint […]

Lire la suite
Microsoft propose un accès invité pour sa plateforme Teams Office 365
Office 365 Publié le 12 septembre 2017 par Emilie Olek

Microsoft propose un accès invité pour sa plateforme Teams Office 365

Le 12 septembre, Microsoft a ajouté une nouvelle fonctionnalité à sa plateforme de collaboration Teams : l’accès invité pour des utilisateurs n’étant pas membre d’une certaine organisation. La plateforme Teams se présente comme un outil de collaboration intégrant de manière très poussée les outils de la suite Office 365 et Microsoft tend peu à peu à […]

Lire la suite
Voir tous les articles