Sécurité Informatique: Pas de vacances pour les pirates

ereputationLES PIRATES INFORMATIQUES NE PRENNENT PAS DE VACANCES.

 

Il ne se passe pas un mois sans que ne soient relatées dans la presse spécialisée, ou sur les grands médias, des intrusions dans les systèmes informatiques.

 

Nous avons tous en mémoire les cas de Sony, d’Orange, de TV5 monde.

 

Ces piratages peuvent donner lieu à des demandes de rançons[1], concerner des systèmes aussi sensibles que des mécanismes de perfusion médicale [2] ou encore des données de santé qui se révèlent d'un grand intérêt financier [3] pour ces hackers .

 

 

Des menaces amplifiées par de nouveaux usages.

 

Les risques sont par ailleurs amplifiés par les usages d’Internet pour mettre à disposition l’information : l’exposition des sites web sur Internet, la mobilité et les smartphones, les objets connectés.

 

A ce propos, l'article de Vincent Ferrarra, dans notre lettre n°1, faisait le point sur les principales menaces sur les PME.

 

Nul besoin d’insister, chacun peut imaginer les impacts pour l’entreprise, son personnel et ses clients, le préjudice financier ou d’image...

 

 

Face à ces menaces, que faire ?

  • Empiler des outils techniques de sécurité informatique ?
  • Faire appel à des experts pour gérer son informatique ?
  • Diagnostiquer ses faiblesses et ses vulnérabilités ?
  • Former et sensibiliser son personnel à la sécurité informatique ?
  • Se mettre en conformité avec la loi Informatique et Libertés qui impose au responsable de traitement de sécuriser les données à caractère personnel et les données de santé ?  

 

Certainement un peu de tout cela.

 

 

La direction de l'entreprise : Sponsor de la sécurité informatique

 

Mais avant tout, une chose est primordiale : la direction de la société représentée par son PDG, son gérant, ou tout autre personne en charge de la stratégie de l’entreprise est, et doit être, le sponsor de la sécurité informatique.

 

Montrer son engagement dans la protection du patrimoine informationnel de l’entreprise est le début de la mise en œuvre d’une politique de sécurité qui sera supportée, certes, par de la technique, mais aussi une organisation, des processus et un comportement adapté du personnel.

 

C’est aussi montrer clairement à ses clients le soin avec lequel sont traitées les données personnelles qu’ils nous confient.

 

La formation des utilisateurs à la sécurité informatique est un enjeu d’importance.

Dans ce contexte, responsabiliser et sensibiliser son personnel aux menaces et aux risques est un des fondamentaux de la sécurité informatique.

Cette sensibilisation doit être périodique et étendue à tous les acteurs informatiques : « La sécurité n’est-elle pas l’affaire de tous[4] ? ».

 

Pour partir en vacances tranquille

 

Voici quelques lignes directrices qui vous permettront de vérifier et d’améliorer votre sécurité afin de garder les menaces sous contrôle :

         - mettre à jour les logiciels de votre parc informatique.

         - contrôler/filtrer les accès à Internet et au wifi.

         - s'assurer d'être en conformité avec les lois et les règlements en matière de sécurité des données..

         - se préparer à une attaque informatique et à la gestion d’une crise (tant d’un point de vue technique qu’organisationnel).

         - mettre en place des plans de reprise d’activité en cas de sinistre : identifier les acteurs, faire l’analyse des incidents de sécurité.

         - surveiller les systèmes avec des alertes et des indicateurs pertinents.

         - faire auditer son informatique.

 

 

 

 

 

Bernard FORAY – Administrateur CPC Provence

 

 

[4] http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf

http://www.ssi.gouv.fr/uploads/IMG/pdf/guide_hygiene_informatique_anssi.pdf

 

 

 

Retour à la lecture de Entreprise Puissance Conseil n°3

 
Dernière modification : 30/06/2016