Pourquoi la sécurité de l’information est l’affaire de tous ?

Dans un monde de plus en plus connecté, la protection du patrimoine informationnel de l’entreprise devient un enjeu majeur. Qu’elles soient internes ou externes, il existe de nombreuses solutions techniques et organisationnelles mais la majorité des défaillances de sécurité reste humaine. C’est pourquoi mettre en place un plan de sensibilisation auprès des utilisateurs s’avère efficace dans la diminution du risque.

140 attaques de « phishing » par heure (envoi d’email frauduleux)

50% de chance de diminuer le risque de subir une faille liée au comportement de leurs équipes pour une entreprise ayant un plan de sensibilisation.

29 attaques informatiques en moyenne par an touchent les entreprises françaises

3 min pour pirater tout objet connecté pour un hacker (caméra, imprimante…)

75% des attaques sur des réseaux d’entreprise impliquent des mots de passe faibles

Pourquoi une sensibilisation ?

L’objectif d’une démarche de sensibilisation consiste à développer une culture de sécurité de l’information auprès de tous ses collaborateurs, mais aussi de faire connaitre et d’adopter les bons comportements dans l’entreprise.

L’objectif d’une démarche de sensibilisation consiste à développer une culture de sécurité de l’information auprès de tous ses collaborateurs, mais aussi de faire connaitre et d’adopter les bons comportements dans l’entreprise.

PIDAXY vous partage quelques risques pouvant être rapidement identifiés dans votre entreprise et des solutions de premier niveau à mettre en place. 

Qu’est ce que la sécurité de l’information ?

La sécurité de l’information se caractérise par la protection de la confidentialité, de l’intégrité et de la disponibilité de l’information. Il s’agit d’un processus visant à protéger des données, c’est à dire être dans une situation où nous ne sommes pas exposés.

L’information manipulée dans une entreprise est toujours sensible car elle est un élément clé pour elle, mais aussi pour ses clients. Elle peut être caractérisée de trois manières :

• Les informations commerciales qui représentent une vulnérabilité en termes économiques (propositions commerciale, tarifs, rentabilité…)
• Les informations techniques qui représentent une vulnérabilité en terme de savoir faire
  • Métier, secret de fabrication, savoir des équipes…
• Les informations personnelles qui nous concernent directement mais également celles de nos clients
  • Données nominatives des collaborateurs de l’entreprise
  • Données clients ainsi que toutes les parties prenantes

Comme expliqué, la sécurité de l’information se défini en trois axes mais un quatrième s’ajoute, il s’agit de la traçabilité.

Connaitre les risques

Les vulnérabilités peuvent être regroupées en trois types :

• Physiques : fragilité de l’information sensible sous forme physique simple (exemple : support papier, badge…) lors des phases d’élaboration, de conservation, d’expédition, d’archivage ou de destruction.
• Informatiques, numériques : fragilité de l’information sensible sous forme numérisée lors des phases d’élaboration, de conservation, d’expédition, d’archivage ou de destruction.
• Humaines : fragilité de l’information sensible du fait de l’intervention humaine : malveillance, contrainte, imprudence, négligence.

Pour chacun de ces types, voici quelques exemples que vous pourrez peut être identifier au sein de votre entreprise. 

• Physiques : le feu, l’inondation, les intempéries, les pannes d’énergie, la pollution ou les dangers liés à des causes externes.
• Informatiques, numériques : les pannes de systèmes centraux, les pannes de réseau et de communication, les bogues applicatifs, les logiciels « malins » (virus, cheval de Troie, racket numérique…), la corruption ou la perte de données (accidentelle ou délibérée, attention à l’usage des supports amovibles type clé USB), le déni de service (rendre un service délibérément inactif en utilisant des moyens techniques, soumis à la loi Godfrain (code pénal)…).
• Humaines : les vulnérabilités humaines sont le premier vecteur de compromission :
  
  
  • La malveillance : vol de PC ou de médias externes contenant des informations sensibles.
  • La contrainte : la détection d’éventuelle contrainte est très présente dans les enquêtes préliminaires aux ‘’habilitations Défense’’.
  • L’imprudence : ne pas prévoir les conséquences des actes ou ne pas prendre les dispositions nécessaires pour éviter ces conséquences. ‘’Non intentionnelle’’ donc involontaire en droit français mais engage la responsabilité de son auteur.
  • La négligence : l’attitude de faire les choses avec moins de soin et d’intérêt que normalement attendu.

Solutions à mettre en place et bonnes pratiques à connaitre

Vous l’aurez compris, la sécurité de l’information au sein de votre entreprise peut être impactée selon plusieurs facteurs. Le facteur humain étant le plus souvent concerné, il existe des plans de sensibilisation qui peuvent être mis en place afin d’inculquer les bonnes pratiques pour diminuer et maitriser au mieux ce risque.

PIDAXY propose une solution s’appuyant sur 3 axes :

• Sensibilité : importance du sujet pour le collaborateur et prise de conscience des enjeux.
• Connaissances : apprentissage des notions et des comportements attendus
• Comportements : adoption des comportements attendus.

et vous dévoile quelques solutions simples pouvant d’ores et déjà être mise en place au sein de votre entreprise. Cliquez-ici pour en savoir plus 

Exemple sur la sécurité physique des locaux :

• Mise en place d’un badge avec photo.
• Les visiteurs doivent être accompagnés lors de leurs déplacements dans les locaux.
• Les livraisons sont gérées et contrôlées par l’accueil du site.
• L’accès à certaines salles peut être réglementé par badge ou code.

Exemple sur la sécurité des équipements informatiques :

• Les PC portables doivent être attachés.
• Lors d’un voyage privé, il est recommandé de ne pas emporter votre PC portable professionnel.
• Lors d’un voyage professionnel, veillez à ne pas transporter de données sensibles ou les chiffrer à l’aide d’outils (Bitlocker…).
• Ne branchez pas de périphériques dont vous n’êtes pas sûr, sur vos serveurs ou PC.

Exemple sur la sécurité des accès aux équipements informatiques :

• Bloquez votre poste de travail dès que vous vous en éloignez => Windows+L.
• Ne désactivez pas, ne bloquez pas et ne modifiez pas les sécurités installées par votre informaticien.
• Durcissez votre mot de passe ! et changez-le régulièrement (manuellement ou via un système automatique).
• Ne partagez pas les comptes utilisateur et les mots de passe.

Exemple sur la sécurité liée aux logiciels et licences :

• N’installez aucun logiciel externe sur votre ordinateur professionnel sans en avoir vérifié la légalité et l’innocuité et bien sûr avoir reçu l’autorisation de votre informaticien.
• Protégez votre propriété intellectuelle.

Exemple sur la sécurité dans vos communications :

• Dans les lieux publics, les moyens de transports ou les ascenseurs, on se doit de respecter les engagements de confidentialité de l’entreprise.
• Ne stockez pas et ne publiez pas d’informations professionnelles sur les réseaux sociaux et dans le « Cloud ».

Exemple sur la sécurité dans l’utilisation des services de messagerie :

• Les services d’email sont des outils de travail
  • N’ouvrez jamais une pièce jointe dont vous ne connaissez pas la provenance et dont vous n’êtes pas sûr de son innocuité.
  • L’usage privé doit être réglementé par une Charte Informatique.
  • Si vous avez accès à vos messages professionnels via smartphone ou tablette, pensez à sécuriser ces matériels par mot de passe ou en effaçant toutes les données en cas d’échec répété.

Thibaut TROUFA

Expert SI & Digital

Consultant Associé – PIDAXY