La sécurité est toujours au cœur des préoccupations des responsables informatiques : assurer la pérennité des données, protéger leur entreprise en cas de piratage, protéger leurs clients, leur marché et l’image de leur société face à leurs concurrents.

Face à ces enjeux, comment protéger votre système d’information ? Quels sont les moyens de protection que vous pouvez mettre en œuvre au sein de votre entreprise ?

L’objectif de cet article est de vous aider à vous poser les bonnes questions tout en vous partageant nos conseils et ce que nous avons mis en place au sein de Codéin pour :

• garantir la sécurité de notre système d’information, et celle de nos clients
• assurer une continuité de service
• protéger nos données

Mais d’abord, commençons par définir ce qu’est la sécurité informatique

Définition de la sécurité des systèmes d’information

La sécurité des systèmes d’information est un terme très large qui peut parfois être ambigu. C’est pour cela que nous allons le définir comme suit.

Selon Techno-science.net : “La sécurité des systèmes d’information (SSI) est l’ensemble de mesures de sécurité physiques, logiques et administratives, et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer la protection de ses biens informatiques, la confidentialité des données de son système d'information et la continuité de service.”

La sécurité informatique est un processus. C'est-à-dire que de nombreux acteurs en interne doivent être impliqués pour que le processus soit un succès.

Alors, comment protéger votre système d'information ?

Chez Codéin, nous avons mis en place un Plan d'Assurance Sécurité (PAS) construit autour de 3 axes principaux :

• La sécurité des accès et la protection des données
• Les outils internes
• L’infogérance de nos infrastructures

Nous nous concentrerons dans cet article sur les deux premiers points, le dernier concernant l’infogérance de l’infrastructure fera l’objet d’un prochain article.

Sécurité des accès et protection des données, les questions à vous poser !

Où sont placés physiquement vos serveurs ?

Il est primordial de se poser la question de l’emplacement physique des serveurs :

• Sont-ils sur un seul et même datacenter ? Ou plusieurs ? 
• En France, en Europe ? Ailleurs ?
• Quelle est la distance entre ces différents datacenters ?
• Quelle est la politique de sécurité pratiquée par votre hébergeur ?

Comment accède-t-on à vos serveurs ?

Vous devez vous assurer des mesures mises en place pour accéder physiquement aux machines serveurs, mais pas seulement, à quelles procédures d’authentification faut-il se conformer pour avoir accès à vos serveurs ?

Accès physique aux serveurs

Accès logique : bonnes pratiques

Le contrôle d’accès aux serveurs peut être réalisé par le filtrage à certaines adresses IP.

×

Vos postes de travail sont-ils protégés ?

Enfin, dernier point relatif à la sécurité des accès et à la protection des données, il s'agit de la sécurisation des postes de travail de l'ensemble des collaborateurs.
L'objectif est de sécuriser vos données et celles de vos clients en cas de vol ou perte de l'ordinateur et de protéger la connexion aux serveurs.

Au-delà des accès à vos serveurs, se pose maintenant la question des outils utilisés par l’ensemble de vos collaborateurs. 

Les outils internes

Quels sont les outils internes utilisés au sein de votre entreprise ? Où sont stockées les données de vos clients ?

Commencez par identifier tous les logiciels utilisés : listez chaque logiciel, son utilité, les données qu'il stocke, comment on y accède et qui gère les accès.

Les données de vos clients sont certainement stockées sur un ou plusieurs logiciels (ERP, Inbound, Suite Google, CRM ou autres).

Voici les premières questions à vous poser :

• Où sont stockées vos données ainsi que celles de vos clients ?  Sur un logiciel ou plusieurs ?
• Ces outils bénéficient-ils de mises à jour régulières ? Sont-ils sujets à des politiques de sauvegarde ?
• Sont-ils accessibles via des comptes nominatifs et un accès sécurisé (https) ?
• Où sont-ils hébergés ?
• Peut-on s'y connecter en mode télétravail ? L'accès aux ressources est-il filtré par adresse IP ?
• Qui sont les personnes habilitées à créer des accès pour ces solutions ?

Afin de garantir la sécurité des outils internes, la mise en place d'un gestionnaire de mot de passe tel que Passbolt est recommandée.

En effet, trop d'entreprises consignent leurs mots de passe dans des fichiers excels, des wikis, et en cas de vol de données, l'ensemble des mots de passe peut alors être récupéré.

Le gestionnaire de mots de passe Passbolt

Chez Codéin, nous utilisons le gestionnaire de mot de passe Passbolt.

×

En utilisant ce gestionnaire, tous les mots de passe sont stockés sur une instance de “Passbolt”. L’outil utilise des clés GPG pour chiffrer les mots de passe et permet de partager ces mots de passe de manière sécurisée au sein de nos équipes.
L’outil a été audité plusieurs fois : https://www.passbolt.com/security

Avant de conclure cet article, un dernier point lié à la sécurité des accès vaut la peine d'être abordé :

 Comment accède-t-on à vos locaux ?

La sécurité de votre système d'information commence par l'accès physique à votre entreprise.

• Peut-on accéder facilement à vos locaux ?
• Faut-il badger ?
• Y a-t-il un digicode ?

Tous ces critères se doivent d'être pris en compte lors de la sécurisation d'un site. En effet, un accès physique facile peut déboucher sur une intrusion à distance !

Nous avons vu les questions à se poser et les procédures que l’on peut mettre en place pour sécuriser les accès à vos locaux, à vos serveurs, aux postes de travail et aux données de vos clients. 

Nous verrons dans un prochain article comment assurer une continuité de service à travers une infogérance de qualité et la protection de votre infrastructure logicielle !

Pour ne pas manquer la sortie de notre prochain article, n’hésitez pas à vous abonner à notre newsletter.

Si vous avez besoin de conseils concernant la sécurité de votre système d’information ou besoin d’auditer votre SI, n’hésitez pas à nous contacter !