Les systèmes de sécurité informatique ne sont pas infaillibles, c’est ce que tend à montrer régulièrement l’actualité. Le système d’information d’une organisation a beau être protégé par plusieurs systèmes de sécurité (anti-virus, firewalls, honeypots, sauvegardes…), tant que les utilisateurs ne sont pas formés pour respecter les bonnes pratiques, alors ce système restera une cible potentielle. Voici donc les 5 comportements à faire adopter pour pallier les failles de sécurité.
1. Appliquer systématiquement les mises à jour des systèmes d’exploitation
En octobre 2017, une faille de sécurité a été découverte dans le protocole WPA2, chargé pourtant de sécuriser les connections.
La cause : un dysfonctionnement du dispositif de chiffrement. En conséquence, tous les systèmes de sécurité ont été affaiblis. La faille de sécurité : KRACK, vise les appareils wi-fi qui exploitent le protocole WPA2. D’après krackattacks.com, les systèmes le plus touchés sont les plateformes Android 6.0 et ses supérieurs, et Linux.
A titre d’exemple, Microsoft a intégré un patch anti-KRACK dans la mise à jour de sécurité d’octobre. Les mises à jour de sécurité de Windows ont corrigé les versions client et serveur du système d’exploitation de Microsoft, mais le risque pour les utilisateurs n’est pas complètement éliminé, a prévenu l’entreprise.
Il est donc conseillé de procéder à des mises à jour systématiques des systèmes d’exploitation et des logiciels. En effet, dès que les chercheurs identifient une faille de sécurité dans les systèmes et les logiciels, ils y intègrent un patch anti-KRACK. Procéder à des mises à jour est donc la seule façon pour les utilisateurs de ne pas être touchés par les failles de sécurité.
2. Vérifier les mécanismes de sécurité de manière régulière
Si jusque dans les années 2000 on pouvait vérifier les informations qui sortaient et entraient de et dans l’entreprise, ce qui assurait une sécurité périphérique des données, aujourd’hui il est difficile de ne pouvoir accéder à ses données qu’avec un accès hautement sécurisé de type VPN.
L’ utilisation du wi-fi est aujourd’hui tellement répandu le système d’une entreprise est plus facile d’accès mais également plus vulnérable en cas de piratage informatique.
Il faut donc vérifier régulièrement les mécanismes de sécurité, comme le recommande l’ANSSI.
Par exemple l’Agence Nationale de la Sécurité des Systèmes d’Information recommande
* d’utiliser un mot de passe unique pour chaque service
* de choisir un mot de passe qui n’a aucun lien personnel
* de renouveler son ou ses mots de passe tous les 90 jours
3. Tester ses mécanismes de reprise d’activité
Bien que l’actualité met en lumière les attaques de type hacking, une organisation peut toujours être victime de catastrophes naturelles, ou de pannes technologiques.
En effet, des inondations ou des incendies pourraient avoir des conséquences désastreuses pour un systèmes d’information.
Toutes les organisations doivent donc anticiper et évaluer ce risque pour proposer des solutions de secours permettant de reprendre, la plus rapidement possible, l’activité quotidienne. Avez-vous déjà évalué le coût d’une centaine de collaborateurs qui se retrouveraient au chômage technique ? Posséder un plan de reprise d’activité (PRA) est donc primordial.
4. Surveiller et connaître les usages
Si la direction des systèmes d’information connaît généralement bien les matériels et les applications disponibles, elle a souvent moins conscience des usages effectivement pratiqués par ses collaborateurs.
Sensibiliser les collaborateurs est primordial car les actions qu’ils réalisent ont des incidences directes sur les informations et sur la sécurité de l’entreprise.
Quelques mesures simples peuvent être réalisées, comme :
* Expliquer pourquoi il faut choisir avec soin son mot de passe.
* Pourquoi et comment mettre à jour régulièrement ses logiciels.
* Comment protéger ses données lors de ses déplacements.
De plus grâce à l’édition Enterprise Microsoft Dynamics 365, il est possible de connaître le nombre moyen de :
* e-mails envoyés
* e-mails reçus
* e-mails lus
Ces informations sur le nombre d’e-mails échangés dans la sphère professionnelles. Elles permettent de savoir si toute l’activité passe par les e-mails et combien de personnes les consultent. Un autre moyen de surveiller et maîtriser les usages des utilisateurs dans une entreprise, et faire de la prévention auprès d’eux.
5. Sensibiliser les utilisateurs
La sensibilisation est donc le maître-mot aujourd’hui. A partir du moment où les utilisateurs n’ont pas conscience de la sensibilité de l’importance des données qu’ils manipulent tous les jours, alors l’entreprise encourt de gros risques.
La solution : responsabiliser ses salariés en les sensibilisant ou en les formant à la sécurité informatique. Peuvent ainsi par exemple être organisés des ateliers avec des challenges, des formations et des tests en interne. Le principal étant qu’une véritable sensibilisation de l’équipe pour pallier les failles de sécurité soit faite dans l’entreprise.