Alors que les entreprises victimes de piratages de grande envergure font régulièrement la une des journaux, le public ignore généralement qu'une grande partie de ces violations de données sont le fait d'employés internes, et non pas de menaces extérieures. Un grand nombre de violations de données sont perpétrées à l'intérieur de l'entreprise et la moitié d'entre elles sont malveillantes et non pas accidentelles.
Selon des études de marché, les entreprises suisses investissent en moyenne un franc sur huit de leur budget informatique dans la sécurité. Cependant, la vaste majorité de ces investissements est destinée à protéger l'entreprise d'attaques extérieures. Mais qu'en est-il des risques internes?
Voici les 7 principales mesures à prendre pour garantir la sécurité de votre entreprise face aux piratages et aux violations de données internes.
1. Surveillez l'activité informatique «de base» de votre entreprise
Vous pouvez mettre en place un système de surveillance adapté à l'activité de base de votre entreprise et qui vous signale toute activité suspecte. Ce système vous alertera notamment si une application ou un utilisateur tentait d'accéder à des données sans en avoir l'autorisation. Il vous signalera également toute augmentation suspecte du trafic réseau ou des transferts de fichiers pouvant indiquer qu'une personne transmet des données depuis votre système. Ces solutions doivent être personnalisées pour convenir à votre structure. Chez Swiss FTS, une équipe d'experts se tient à votre disposition pour mettre en place le système de surveillance idéal pour vous.
2. Sécurisez toutes les communications
Tout au long de la semaine de travail, les employés utilisent des dizaines d'applications exigeant un nom d'utilisateur et une authentification. Si les connexions à ces services ne sont pas cryptées, chaque membre du réseau peut accéder aux identifiants de tous les autres membres. (Si les applications sont hébergées en externe, même des personnes extérieures peuvent accéder aux identifiants.) C'est pourquoi il est indispensable de crypter systématiquement toute communication avec des applications et des services en utilisant le cryptage SSL ou une autre technologie de chiffrement. La technologie Single Sign-On (SSO) peut également être utile à votre équipe informatique pour garantir l'utilisation d'identifiants sécurisés par tous les employés. SSO peut simplifier l'utilisation de canaux sécurisés de telle manière que vos employés ne s'en rendront même pas compte.
3. Sensibilisez vos employés par la formation
Il est nécessaire de former les employés à identifier les principaux types d'attaques et de risques, aussi bien externes qu'internes. Les employés doivent notamment être sensibilisés à ne jamais exécuter des programmes de source inconnue ou suspecte. Ils doivent également être formés à détecter le phishing et d'autres sources malveillantes. Tout employé doit savoir qu'il ne faut pas raccorder des clés USB ou d'autres appareils trouvés ou reçus de sources inconnues. Ils doivent jeter ces appareils USB trouvés ou les amener à leur service informatique pour qu'ils puissent être testés dans un environnement sécurisé. Il est également important de sensibiliser les employés à l'ingénierie sociale, afin qu'ils ne fournissent pas d'informations confidentielles à un inconnu se présentant, par exemple, comme le responsable d'un autre service. Des formations de qualité sur ces sujets sont indispensables pour vos employés.
4. Faites en sorte que chaque employé(e) accède uniquement aux données nécessaires
La mise en place d'un système de contrôle des accès réduira considérablement le risque de vol de données internes car chaque employé n'aura accès qu'à une partie des données de l'entreprise, à savoir celles dont il a besoin.
5. Le principe des quatre yeux
Pour toute modification du système et des paramètres de sécurité, ainsi que pour accorder des droits d'accès, votre entreprise devrait suivre le «principe des quatre yeux»: deux personnes participent au processus ou prennent acte des modifications apportées à tout paramètre appliqué à l'échelle du système. Cocher la mauvaise case ou déplacer une règle de sécurité au mauvais endroit peut avoir de graves conséquences. Imaginez par exemple qu'un(e) intérimaire obtienne par erreur les droits d'administration du domaine. Ce type d'incident potentiellement catastrophique peut être minimisé si deux personnes contrôlent toute modification importante des paramètres.
6. Répartition des tâches
Il est étonnamment fréquent, en particulier dans les petites entreprises, de voir un seul administrateur contrôler la totalité de votre système informatique. Cette situation est potentiellement dangereuse car cette personne a le pouvoir de détruire votre entreprise. Nous vous recommandons de séparer les systèmes essentiels à la bonne marche de votre entreprise et d'en confier l'administration à des personnes différentes. Votre infrastructure informatique gagnera ainsi en robustesse et en sécurité.
7. Faites participer toute l'entreprise
La sécurité n'est pas seulement une question d'informatique. Elle concerne toute l'entreprise, y compris la direction, les services RH, ventes, juridique, etc. Il est essentiel que toutes les parties prenantes en soient conscientes et que toutes travaillent ensemble pour atteindre l'objectif d'une meilleure sécurité à l'échelle de l'entreprise. Investir des sommes faramineuses dans une infrastructure de sécurité sophistiquée n'a pas de sens si les employés ne l'acceptent pas ou ne l'utilisent pas correctement. Nous vous conseillons de ne pas vous focaliser uniquement sur l'aspect informatique de la sécurité mais aussi sur la culture d'entreprise invitant tous les membres à prendre la sécurité au sérieux et à appliquer les mesures de sécurité appropriées au quotidien.
Lors de nos missions d'investigation informatique, nous constatons souvent que les mesures susmentionnées ne sont pas appliquées correctement. Il peut en résulter des incidents de sécurité aux conséquences graves pour vos activités. Nous avons implémenté un système de gestion de la sécurité de l'information (certificat ISO 27001) et nous nous ferons un plaisir de partager notre expérience avec vous.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
