10 pistes pour la sécurité numérique de l’entreprise
1. Mobiliser et former les utilisateurs.
Chaque utilisateur est potentiellement un maillon faible de la sécurité de l’entreprise s’il n’a pas été sensibilisé aux enjeux de la sécurité et instruit adéquatement des bonnes pratiques en la matière. Et la sécurité du système d’information global repose sur le niveau de sécurité du plus faible maillon. Chaque utilisateur doit savoir quelles sont les données jugées sensibles. Et chacun doit connaître la politique de sécurité de l’entreprise et les consignes qui y sont associées. Les règles de base peuvent être par exemple : ne pas utiliser dans le cadre professionnel un mot de passe déjà utilisé à titre personnel, ne pas connecter des équipements personnels au réseau de l’entreprise, verrouiller la session de son poste de travail lorsqu’on le quitte, connaître la procédure en cas de suspicion d’intrusion, etc. Il est possible de mener des mini-formations sur des questions spécifiques, par exemple une sensibilisation aux dangers de l’hameçonnage, des rançongiciels, aux risques associés aux clés USB, etc.
2. Sécuriser leurs postes de travail.
Il est nécessaire d’implémenter une politique d’entreprise concernant ce qu’il est autorisé d’installer sur son poste de travail. Ce peut être par exemple une liste limitative d’applications et d’extensions de navigateurs, toute installation d’application autre devant être soumise à une procédure d’approbation auprès du SI. Il est parfois préférable d’avoir son propre serveur hébergeant les applications autorisées, afin de s’assurer que celles-ci sont sécuritaires. En outre, les postes de travail doivent être à jour et disposer au minimum d’un antivirus, d’un antispam et d’un pare-feu local correctement paramétré. Les volumes ou partitions où sont stockées les données de l’utilisateur doivent être chiffrés, et régulièrement sauvegardés sur des systèmes non connectés. Le chiffrement est un impératif sur les ordinateurs portables, surtout ceux qui sortent des murs de l’entreprise, car les risques de perte ou de vol sont alors loin d’être négligeables.
3. Localiser les données sensibles.
Toute entreprise doit gérer des informations sensibles, c’est-à-dire celles dont la perte ou le vol pourrait être préjudiciable, voire catastrophique. Il est important de savoir où elles se trouvent, sur quelles composantes matérielles, afin de pouvoir établir des mesures de sécurité spécifiques. Les données résidant sur des systèmes extérieurs (nuage, IaaS, PaaS) doivent faire l’objet d’un traitement particulier, en raison de risques spécifiques, et d’une réflexion sur le bien-fondé de leur externalisation à la lumière de la sécurité. Bien identifier les données sensibles permet aussi de mieux contrôler les droits d’accès qui leur sont associés.
4. Assurer une gestion sans failles des comptes utilisateurs.
Il est important d’assurer une gestion fine et continue des comptes utilisateurs, de les supprimer sans délai quand un employé quitte l’entreprise et d’effectuer régulièrement une revue des comptes afin de contrôler l’adéquation entre les droits accordés et les tâches à assurer. Il convient de ne pas donner plus de droits qu’il est nécessaire ; tout le monde n’a pas à disposer des droits d’administration. Il faut aussi s’assurer du bon paramétrage des autorisations d’accès pour les données sensibles. D’autre part, à des fins de traçabilité, n’ayez aucun compte générique multi-utilisateur et préférez les comptes associés à un utilisateur unique.
5. Déterminer des consignes claires pour les mots de passe.
Les utilisateurs doivent avoir reçu des consignes précises sur les bonnes pratiques en matière de composition d’un mot de passe robuste. En outre, il doit être formellement interdit de noter des mots de passe sur des supports physiques (bloc-notes, tableau blanc, etc.) ou des supports numériques non chiffrés (“mots_de_passe.txt”, courriels, etc.). Si un utilisateur doit gérer plusieurs identifiants complexes, il faut l’équiper d’un gestionnaire de mots de passe (KeePass, EnPass, 1Password, etc.).
6. Renforcer la procédure d’authentification.
Pour renforcer la sécurité de comptes stratégiques, on peut envisager le recours à la vérification en deux étapes. Il s’agit de rendre l’authentification de l’utilisateur plus sûre en exigeant non seulement un mot de passe, mais aussi un autre élément, comme : une chose que l’utilisateur possède (clé de sécurité USB type FIDO U2F, carte à puce OpenPGP, puce RFID, jeton de sécurité, code à usage unique reçu par SMS…), une donnée biométrique (empreintes digitales, caractéristiques de la voix, de l’iris…) ou encore une position géographique (l’appareil qui se connecte doit être dans un certain périmètre géographique).
7. Limiter les appareils autorisés à se connecter au réseau d’entreprise.
Les appareils qui peuvent se connecter au réseau interne doivent être sous la maîtrise de l’entreprise. Les appareils des visiteurs comme les appareils personnels des employés peuvent représenter une vulnérabilité sur laquelle l’entreprise n’a pas le contrôle. Pour ces usages, il est recommandé de créer un réseau Wi-Fi spécifique, entièrement séparé du reste des infrastructures de l’entreprise, mais offrant néanmoins un bon niveau de sécurisation (WPA2, bientôt WPA3, AES CCMP, changement régulier du mot de passe). De la même façon, il est préconisé d’encadrer l’utilisation de clés USB d’origine extérieure sur les systèmes de l’entreprise.
8. Chiffrer tous les transits de données via internet.
Toute donnée non chiffrée circulant sur internet est vulnérable. Ça peut être les courriels, les échanges avec des plateformes infonuagiques, des SaaS, etc. Il est indispensable que toutes les communications de l’entreprise passent par des protocoles sécurisés (HTTPS, IMAPS, SMTPS, POP3S, SFTP, etc.). Notez bien cependant que les courriels circulent sur les réseaux de façon non chiffrée et qu’il faut toujours considérer que l’information envoyée peut être interceptée et lue par n’importe qui, à moins d’en chiffrer le contenu avec OpenPGP, PGP, GPG ou autre. Aussi, si des utilisateurs ont besoin de se connecter à distance aux systèmes de l’entreprise via internet (emplois nomades, télétravail), il faut leur imposer des communications via des tunnels sécurisés, tel un VPN.
9. Cloisonner le réseau.
Il convient d’isoler les machines qui offrent des services visibles à l’internet (typiquement un hébergement web) du reste du réseau de l’entreprise (création de zones dites démilitarisées). En outre, l’architecture du réseau peut prévoir un cloisonnement permettant d’empêcher la propagation interne d’une attaque à tous les postes de l’entreprise. On peut ainsi regrouper dans des zones tous les systèmes ayant des besoins de sécurité similaires et installer un filtrage du trafic entre les zones à l’aide d’un pare-feu.
10. Ne pas oublier la sécurité physique.
Par exemple, l’accès aux salles de serveurs doit être contrôlé par des badges ou systèmes similaires. Il est bien sûr recommandé d’éviter de laisser des employés non accrédités ou des prestataires extérieurs sans accompagnement dans ces lieux stratégiques. Il faut aussi porter attention aux prises réseau dans d’éventuels espaces ouverts au public. Elles doivent être sécurisées ou désactivées.
Si vous souhaitez des conseils sur la sécurisation plus exhaustifs, référez-vous à l’excellent Guide d’hygiène informatique édité par Agence nationale française de la sécurité des systèmes d’information.