Entreprises : vous pensez que vos données sont en sécurité ?

La sécurité n’est pas une case à cocher dans un projet. Et si on n’accorde pas à ce sujet de l’importance avant que les problèmes arrivent, on peut en payer les frais pendant des années. Pour y voir plus clair dans cette jungle, il existe pourtant des mesures faciles à mettre en place qui éviteront de nombreuses situations fâcheuses !

ICC Belgium (International Chamber of Commerce) et la FEB (Fédération des entreprises de Belgique – l’équivalent du MEDEF) ont récemment publié un guide sur la cyber sécurité. Celui-ci regroupe les 10 principes clé auxquels une entreprise devrait se conformer ainsi que les 10 actions à impérativement implémenter pour protéger les données professionnelles.

1. Assurer la prise de conscience et la formation des utilisateurs

Le maillon faible de la sécurité est malheureusement souvent humain. Une manière de lutter contre cela est de bien informer ainsi que de former les utilisateurs pour qu’ils soient responsabilisés. La formation peut par exemple porter sur la bonne manière de stocker ses données, de se protéger des virus et malwares ou encore d’utiliser les médias sociaux. Autre bon réflexe, verrouiller son PC quand on quitte son poste de travail : cela évite d’ailleurs aussi les blagues des collègues qui envoient un mail à tout le service indiquant que vous apportez demain le petit déjeuner pour tout le monde.

2. Tenir ses systèmes à jour

De nombreux virus profitent du fait que certains logiciels ne sont pas à jours : c’est pour cela que les programmes doivent être régulièrement mis à jour et si possible de manière automatique. Afin de vérifier que tous les systèmes sont bien protégés, il peut être utile de tenir un inventaire des programmes utilisés dans l’entreprise avec le niveau de version minimal requis.

3. Protéger l’information

Les efforts doivent se focaliser sur les informations plutôt que sur les technologies. Qu’il s’agisse de transmission ou de stockage, il existe des solutions à mettre en place telles que le cryptage d’informations sensibles dans les emails.

4. Appliquer un plan de sécurité pour les appareils mobiles

La tendance grandissante du BYOD (Bring your own device) pose de nouvelles questions pour la sécurité des données. L’entreprise doit adopter une position claire et fournir une policy ainsi que des procédures indiquant par exemple qu’il faut utiliser un mot de passe fort et reporter à son entreprise toute perte ou vol de son appareil mobile.

5. N’autoriser l’accès à l’information qu’en cas de nécessité justifiée

Les employés ne doivent avoir accès qu’aux données dont ils ont besoin dans le cadre de leur fonction : ces autorités doivent être revues et validées sur base annuelle. Les profils de super admin ne doivent être réservés qu’à un nombre restreint d’utilisateurs. Les utilisateurs ne doivent pas avoir la possibilité d’installer eux-mêmes des programmes sur leur ordinateur.

6. Appliquer des règles de sécurité pour la navigation sur internet

Les utilisateurs peuvent surfer sur de nombreux sites pour des raisons privées sans que cela n’ait de conséquence pour la sécurité. En revanche, les sites de peer-to-peer ou de pornographie devraient être systématiquement bloqués car ils induisent un risque bien plus élevé de virus ou de spyware.

7. Faire usage de mots de passe complexes et sûrs, et les garder en sécurité

L’entreprise doit mettre en place une politique de mots de passe avec des règles telles que la longueur, la complexité ou encore la périodicité à laquelle il doit être changé (3 mois est une bonne pratique). Les utilisateurs ne doivent pas utiliser le même mot de passe pour différentes applications. Pour les données très sensibles, il est possible de proposer une authentification multi-facteurs. Par exemple ce que je sais (ex : un mot de passe), ce que j’ai (ex : une carte identitaire) et ce que je suis (ex : une empreinte digitale). Avoir un mot de passe compliqué et le noter sur un post-it collé à côté de son bureau est une mauvaise pratique, cela va sans dire.

8. Faire des copies de sauvegarde des données de l’entreprise et les vérifier

L’entreprise doit mettre en place une policy relative aux sauvegardes qui explique : ce qui est sauvegardé, quand, à quelle fréquence, qui est responsable, où les sauvegardes sont stockées et qui a accès à ces sauvegardes.

9. Lutter à différents niveaux contre les virus et autres programmes malveillants

Les entreprises doivent utiliser différents pans de la technologie en combinant par exemple le filtrage des contenus, la protection anti-virus, les firewalls, les policies et la formation des utilisateurs.

10. Prévenir, détecter et agir

Il arrive fréquemment que des entreprises soient infectées par un virus et ne s’en rendent compte que des semaines plus tard : d’où l’importance de mettre en place des systèmes de détection des intrusions. Si une intrusion est détectée, il faut agir sur le plan technique mais également sur le plan légal. Une plainte pourra donc être déposée en cas de hacking, sabotage ou encore espionnage.

Si le sujet vous intéresse, n’hésitez pas à consulter l’intégralité de ce guide sur la cyber sécurité : il est disponible sur le site de la chambre de commerce internationale de Belgique.


Comments are closed.

Send this to friend

Lire les articles précédents :
Tweets les plus partagés en 2013 : le podium

Twitter a publié la liste des tweets les plus partagés de cette année 2013. Que des histoires de célébrités…

Fermer