201609.06
1
Avenir de l’IT : Le Club de la Sécurité de l’Information Française se penche sur les bonnes pratiques pour optimiser la sécurité informatique des très petites entreprises. Voici quelques conseils à suivre.

Par définition les TPE n’ont pas de service informatique dédié à résoudre leurs problèmes informatiques. Tous leurs salariés, quand il y en a, ne sont là que pour une chose : développer le business et se concentrer sur le coeur de l’activité. Ce n’est pas une raison pour négliger sa sécurité informatique et faire n’importe quoi avec son réseau. Dans un livre blanc de 10 pages publié en mai dernier, le Clusif rappelle les mesures essentielles à prendre pour se mettre à l’abri des mauvaises surprises.

1. Sécuriser les échanges

Le premier point important consiste à sécuriser les échanges en chiffrant les informations essentielles avec un logiciel de messagerie adéquat, et donc pas uniquement un webmail accessible en ligne. S’il n’est pas possible de chiffrer et de signer complètement ses messages, le Clusif recommande de chiffrer au moins localement les pièces jointes et des informations sensibles pour que les tiers ne puissent les ouvrir à l’improviste.

Et rappelle des mesures de bons sens, telles que le changement des mots de passe régulièrement et a minima lors que des collaborateurs quittent la société (ne serait-ce que pour éviter que le commercial ne parte avec la liste de prospect dans son ordinateur). De même, pensez à utiliser des systèmes de VPN (Virtual private network – réseau privé network) pour travailler à distance sur le réseau de votre société.

2. Structurer son réseau

Le deuxième point consiste à structurer son réseau : ne pas multiplier les technologies différentes (pour faciliter les mises à jour), bien configurer ses pare-feu, antivirus et accès à Internet (en sachant qui accède à quoi et qui peut émettre quoi) tout en maintenant le tout à jour pour se prémunir d’éventuelles failles, et surtout proscrire l’accès à la fois à Internet et aux données sensibles sur l’entreprise à partir d’un même poste.

Le Clusif recommande également d’avoir un double abonnement à Internet en cas de panne du prestataire principal, même si cela semble a priori délicat pour des TPE.

3. Vérifier les mises à jour

Pour le cas où la TPE est un entrepreneur indépendant avec un seul ordinateur connecté à Internet, le Clusif lui recommande de vérifier « au minimum une fois par an » (sic) que les logiciels installés sont bien à jour. En pratique, si c’est votre outil de travail, faites-le une fois par semaine ou activez les mises à jour automatiques dans votre système d’exploitation. Vous devriez aussi désactiver les fonctions du système d’exploitation que vous n’utilisez pas (si cela est possible) ainsi que le compte invité, n’utilisez que des logiciels provenant de sources sures, protégez votre session avec un mot de passe robuste et sécurisé.

Et comme pour un ordinateur personnel, protégez-le par un pare-feu, antivirus (si vous êtes sous Windows), et faites des sauvegardes régulières de votre travail dans le Cloud et sur des supports externes physiques, en pensant à la possibilité de faire des restaurations en cas de souci.

4. S’assurer de la présence d’un pare-feu

Le Clusif insiste fortement sur la nécessité d’installer un pare-feu. Ce type de logiciel qui va filtrer la façon dont les données circulent entre votre ordinateur et votre réseau, voire Internet est déjà souvent installé dans la plupart des systèmes d’exploitation (Windows Defender par exemple) ainsi que dans les box des fournisseurs Internet.

Si les recommandations du Clusif vous semblent un peu trop complexe à mettre en place ou trop coûteuses puisqu’elles impliquent de passer par un prestataire commerciale, utilisez a minima ces solutions déjà disponibles et configurez soigneusement en utilisant comme principe de base « tout ce qui n’est pas explicitement autorisé est interdit ».

5. Protéger néanmoins la vie privée des salariés

Enfin concernant l’usage de la messagerie et du Web, le Clusif rappelle que la sécurité de l’entreprise ne doit pas se faire aux dépens du respect de la vie privée des salariés. S’il est donc nécessaire d’établir certaines méthodes de protection, celles-ci doivent respecter les recommandations de la CNIL.

ZDNet.fr – Par Stéphanie Chaptal |