Une question récurrente a vu le jour ses dernières années : « Mon informatique est-elle sécurisée ? » En effet, face à de nombreuses affaires de détournement, fraudes de mails, phising, fuites en tout genre, les chefs d’entreprise et les SI s’interrogent sur la sécurité de leur infrastructure. Et ce sujet est fréquemment abordé par nos clients qui nous demandent si nos solutions d’hébergement sont- sécurisées… La réponse est oui, bien sûr !
En attendant, il nous a semblé essentiel de vous faire partager notre savoir-faire en termes de sécurité. Pour cela, nous avons choisi d’engager un cycle d’articles sur le thème de la sécurité informatique afin de vous apporter un premier éclairage sur cette fameuse notion qui agite tout un chacun.
Cet article est donc destiné à tous ceux qui souhaitent engager un premier pas dans la protection de leurs outils de production, dont une grande partie se base sur des équipements et des données informatiques (considérés comme des actifs de l’entreprise : information, logiciels, ordinateur…).
Voici un état des lieux qui vous permettra de mieux appréhender les enjeux de la sécurité informatique de votre entreprise.
Cela peut donc vouloir dire :
Vous pouvez ainsi voir que les sources d’inquiétude sont nombreuses et de plusieurs types. La sécurité informatique recouvre donc de nombreux thèmes et est bien souvent spécifique aux problématiques métier que vous rencontrées en tant que professionnel.
Vous définissez ainsi le niveau de priorité à allouer en fonction de votre situation :
Il ne faut pas oublier qu’en termes de sécurité, quelle que soit la discipline concernée, la mise en place des mesures permettant d’améliorer le niveau de sécurité se fera toujours en fonction des menaces auxquelles la structure est exposée, de la probabilité que ces menaces se produisent et de l’impact qu’elles auront sur son activité.
Commencez à lister l’ensemble des menaces auxquelles votre structure peut être exposée peut s’avérer anxiogène, alors vous pouvez déjà engager un premier travail au travers des bonnes pratiques que nous allons vous délivrer et en faisant appel à nous car nous sommes des experts.
Dans les définitions qui suivent, nous avons ajouté la définition officielle de l’ISO27000. Et nous prendrons l’habitude dans nos autres articles d’y faire référence afin que vous puissiez, petit à petit, vous familiariser avec elle.
Voici donc les 4 enjeux sous-jacents à la notion globale de « sécurité ».
L’intégrité peut se résumer au fait d’avoir la garantie que vos données ne seront pas modifiées et resterons donc fiables (ou encore selon l’ISO « propriété de protection de l’exactitude et de la complétude des actifs »). Cela parait évident, mais en pratique que se passerait-il si quelqu’un pouvait modifier, au sein de votre messagerie électronique, un mail qui contient une facture, un contrat, un devis ? En cas de litige, vous iriez consulter ce fameux mail et vous constateriez le changement. Et bien sûr, vous n’avez aucune trace, donc aucune preuve, de qui a pu faire cette action de modification dans votre dos. Ainsi, l’intégrité des données peut être étendue à l’ensemble des informations numériques stockées ou traitées par les systèmes informatiques : messagerie, Drive dans le Cloud, logiciel de paie, comptabilité, CRM, ERP, site e-commerce, système transactionnel de commande…
Cette seconde caractéristique de la sécurité informatique concerne le fait que vous puissiez avoir la certitude de pouvoir accéder aux services, aux outils et aux équipements informatiques quand vous en avez besoin. La donnée doit être disponible. La définition donnée par l’ISO est la suivante : « propriété d’être accessible et utilisable à la demande par une entité autorisée ».
Ce niveau de disponibilité de vos services s’incarne souvent au travers de SLA (Service Level Agreement). La disponibilité se mesure souvent sous la forme d’un pourcentage représentant la durée, durant un mois calendaire, pendant laquelle le service est disponible. Une disponibilité de 99.95% indique que le service peut être indisponible, ou partiellement indisponible, pendant 0.05% du mois.
Ainsi, avec 0.05% d’indisponibilité, le service peut être interrompu 22 minutes.
En résumé, la disponibilité c’est… De pouvoir utiliser la ressource informatique quand je le souhaite tout en acceptant un % d’indisponibilité que j’ai défini contractuellement avec mon fournisseur.
Le périmètre de la disponibilité : La disponibilité s’applique aussi bien au matériel qu’aux logiciels, qu’aux ressources humaines.
Les limites de ce principe dans les faits :
C’est certainement la facette de la sécurité informatique la plus simple à cerner. Au travers de la confidentialité, vous souhaitez que vos données ne soient pas exposées aux quatre vents. L’ISO elle, la définit comme « propriété selon laquelle l’information n’est pas rendue disponible ou divulguée à des personnes, des entités ou des processus non autorisés ».
Mais en fait, de quels yeux voulez-vous protéger vos données ?
La confidentialité, c’est aussi de restreindre l’accès aux données aux seules personnes qui en ont vraiment besoin. Plus la donnée est critique pour l’entreprise, plus le nombre de personnes y ayant accès se réduit et plus les contrôles d’accès sont stricts. Exemple : Un PDG doit-il pouvoir accéder avec son IPhone au serveur de fichiers qui contient le plan stratégique de la société ? Vaste débat. J’en vois d’ici certains sourirent !
N’oubliez pas que la meilleure façon de perdre la confidentialité de ses données est de mal gérer sa politique de mots de passe…
La confidentialité est une discipline au long cours, mais qui peut exiger un certain nombre d’effort… Malheureusement, il faut bien souvent attendre l’accident pour changer de comportement… Alors que des règles simples suffiraient à éviter la catastrophe.
Dans certains usages, pour ne pas dire métiers, vous pouvez avoir besoin de suivre précisément le cheminement des données et leurs modifications. Les processus de traçabilité vont vous permettre de pouvoir garantir aux instances dirigeantes de votre entreprise, comme auprès de vos clients, (mais aussi partenaires ou organismes gouvernementaux) que vous êtes capable de tracer le cheminement de l’information au sein de votre système d’information et de rendre des comptes, en cas de besoin.
Vous pouvez, à titre d’exemple simple, évoquer le fait de tracer les accès des utilisateurs aux outils informatiques, mais aussi de tracer les modifications apportées à des documents. Dans certains cas, même, la législation peut vous obliger à garder des traces d’échanges, de fichiers, d’accès à des ressources et ce pendant plusieurs mois.
Ce point, souvent oublié, est pourtant souvent présent quand vous recherchez une information afin de prouver que vous avez raison face à un tiers. L’ISO la caractérise comme « la capacité à prouver l’occurrence d’un événement ou d’une action donné(e) et des entités qui en sont à l’origine ».
Ce dernier point ne concerne pas seulement le fait d’identifier un utilisateur qui souhaite se connecter à une ressource informatique et à qui on va demander un identifiant et un mot de passe, l’authentification, c’est aussi le fait de s’assurer que la personne avec qui vous effectuez un échange, une transaction, est bien celle que l’on croit être.
Voici déjà un état des lieux des enjeux multiples se cachant derrière la notion de sécurité informatique. Nous pouvons vous aider à définir vos niveaux de priorité mais également vous proposer des solutions sécurisées qui vous permettront de réduire drastiquement votre niveau de risque. Passant actuellement la certification ISO 27001, Openhost est le bon interlocuteur pour répondre à vos problématiques de sécurité informatique (sécuriser vos mails professionnels, serveurs…).
Dans un prochain article, nous parlerons de ces solutions plus en détail, mais en attendant, n’hésitez pas à nous contacter pour en parler.
Important L’année 2021 a vu l’arrêt progressif de notre service de messagerie Exchange 2016 hébergé par Openhost. Nous vous proposons de migrer vos messageries (ou celles de vos clients) sur Exchange Online, également connu sous le nom d’Office 365. En savoir plus Pour bon nombre d’entre nous, la messagerie électronique est certainement l’outil de travail […]
Lire la suiteDans un monde toujours plus numérique, l’analyse de données est devenue une étape nécessaire pour toutes les entreprises. D’années en années, on produit un volume de plus en plus important de données mais cette masse s’avère totalement inutile si l’on ne peut pas la déchiffrer. Les outils de Business Intelligence tels que Microsoft Power BI […]
Lire la suiteSkype for Business Online n’est plus disponible depuis 2021.> En savoir plus Qu’est-ce que la communication unifiée ? La communication unifiée est un système qui permet de regrouper en un seul et même outil l’ensemble des moyens de communication : téléphonie IP (ToIp), visioconférence, réunions en ligne, messagerie instantanée, partage de documents (agendas…), web conférences […]
Lire la suite