La sécurité en entreprise, équilibre entre protection et performance

sécurité en entreprise Voir la version AMP

Ça tombe sous le sens, aucune entreprise ne veut découvrir une brèche dans ses systèmes TI et faire la une avec ses données dispersées sur Internet. La cybersécurité est une obligation pour toutes les entreprises à laquelle elles doivent se conformer mais aujourd’hui,  la sécurité en entreprise dépasse largement le cadre des applications et systèmes TI.

Dans les derniers articles, nous avons discuté des nombreux avantages du Cloud dont l’un des principaux est la cybersécurité ; au niveau de la protection des données (encryptage sur le fil et parfois dans la BD, protection au niveau des hackers, sauvegarde, etc.). Alors qu’en est-il des applications et systèmes TI en particulier, et de votre entreprise en général ?

Se protéger sans se nuire

La réalité est que les cas de brèches de cybersécurité majeures causées à dessein par des hackers et qui font un tabac aux infos sont très rares. La grande majorité des problèmes de sécurité en entreprise, incluant les systèmes et applications TI, sont dues à de la paresse organisationnelle (chacun se renvoyant la responsabilité d’implanter la sécurité) et à de la négligence humaine (des employés).

Tous les départements en entreprise ont une réticence à mettre en place des mesures de sécurité. Ainsi, la sécurité en entreprise passe très souvent après les priorités de production et de profitabilité, ce qui veut dire très loin…

Évidemment, les entreprises n’ont pas toutes besoin du même niveau de cybersécurité ou autre.

La bonne question devient alors : quel est le bon équilibre entre protection et performance pour mon entreprise ?

Pour aider à définir cet équilibre, voici quelques notions générales à considérer :

  • Est-ce que l’entreprise est « Cloud » ou possède-t-elle ses propres serveurs ?
  • Est-ce que l’entreprise héberge elle-même une ou des applications critiques ?
  • Est-ce que les applications de l’entreprise sont Windows, Web ou les deux ?
  • Est-ce que l’entreprise fait appel aux services d’un hébergeur ?

Dans la suite de ce billet, nous élaborerons un peu plus en détail à quels niveaux doivent s’exécuter dans le réel, l’identification des risques et la mise en application de mesures de sécurité en entreprise.

 

5 niveaux d’évaluation du risque et les mesures de sécurité en entreprise à prendre en considération

Nous énumérons ci-dessous un ensemble d’éléments de type « ABC de » à considérer lors de l’élaboration de votre « stratégie de sécurité » en entreprise.

Environnement

  • Est-ce que la configuration du réseau est révisée et documentée régulièrement ?
  • Comment vos serveurs web sont-ils répartis dans votre réseau, sont-ils isolés ? Sont-ils situés dans des DMZs dédiées ?
  • Est-ce que les ordinateurs sont mis en veille après quelques minutes (et exigent un mot de passe pour sortir du mode veille) ?
  • Est-ce que les lieux sont bien protégés (caméras, serrures, registre des visites, etc.) ?
  • Est-ce qu’un étranger peut pénétrer sans se faire interpeller ?
  • Est-ce que des post-it ou des fichiers non protégés contenant des mots de passe sont affichés au vu de tous ou faciles d’accès ?
  • Est-ce que les OS des serveurs sont à jour (patch de sécurité) ? Est-ce qu’un système d’alerte est en place pour demander les MAJ ?
  • Est-ce que le serveur de domaine demande la réinitialisation des mots de passe à fréquence déterminée ?

 

Communication

  • Est-ce que les routers sont protégés par un mot de passe complexe ?
  • Est-ce que les routeurs acceptent seulement la connexion des ordinateurs dont il possède la Mac Address (Est-ce nécessaire ?) ?
  • Est-ce que les données sont encryptées (doivent-elles l’être) ?
  • Est-ce que seuls les ports nécessaires du firewall sont ouverts ?
  • Est-ce que les règles du firewall empêchent les usagers d’atteindre des sites illicites ?
  • Est-ce que les logiciels du firewall sont à jour ? Est-ce qu’un système d’alerte est en place pour demander les MAJ ?
  • Est-ce que les règles du firewall sont à « anything not expressly permitted is prohibited»

 

Personnel

  • Est-ce qu’un « background check » est fait avant l’embauche d’un employé ?
  • Est-ce que le personnel est régulièrement formé et sensibilisé à la sécurité ?
  • Est-ce que les rôles des utilisateurs sont bien définis et que les accès par rôle sont appropriés (Group Policy au niveau de l’Active Directory) ?

 

Données

  • Sont-elles encryptées (ont-elles besoin de l’être) ?
  • Est-ce que les données utilisées pour les tests ont été « occultées » ?
  • Est-ce que des données sensibles non nécessaires sont conservées ?
  • Est-ce que des données historiques sont conservées inutilement ?

 

Mobilité

  • Est-ce que l’accès aux appareils est protégé (code, empreinte, schéma…) ?
  • Est-ce que des données critiques sont sauvegardées sur les appareils ?
  • Est-ce que la communication avec le bureau se fait de façon sécuritaire (VPN) ?

 

Conclusion

La liste des mesures de sécurité en entreprise peut être interminable selon le niveau de risque qu’une entreprise gère ; à l’instar des banques qui exigent un niveau de cybersécurité accru, il existe normalement un département pour gérer cet aspect.

Quelle que soit votre situation, tout est question d’équilibre entre protection et performance.

Demandez-vous si l’implantation d’une mesure de sécurité dans votre entreprise ajoutera des étapes d’exécution ou ralentira un processus de sorte à avoir un impact critique sur la profitabilité de votre entreprise, la productivité des employés ou la satisfaction de la clientèle.

Si oui, vous devrez alors évaluer si le risque de ne pas implanter cette mesure de sécurité est aussi sinon plus critique pour votre entreprise (réputation, pertes, compétitivité, etc.). Les choix et options devraient vous apparaître alors plus clairement.

Et sachez bien communiquer vos motifs à vos différentes clientèles ; tout client, employé ou partenaire appréciera toujours d’être informé plutôt que d’être tenu dans l’ignorance en ce qui concerne sa sécurité et il choisira presque toujours un désagrément plutôt qu’un risque accru.

Notre intention dans ce billet était seulement de sonner les cloches aux oreilles des lecteurs à propos des enjeux et mesures de  « sécurité » en entreprise et de les remettre au-dessus de la pile de vos priorités et de votre liste de To-Dos.

Et rappelez-vous que dans le doute, la question ultime en matière de cybersécurité demeure : « Est-ce que le risque en vaut la chandelle ? »

 

Denis Paul & Michel

Laisser un commentaire

Votre adresse de courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *