Après avoir vu pourquoi contrôler les accès internet et wifi, réaliser des sauvegardes, homogénéiser le parc informatique et se protéger contre l’utilisation d’applications cloud personnelles, voici le dernier volet de ce dossier permettant de créer dans les entreprises un bouclier sécuritaire performant.
Il est consacré à un aspect qui va conditionner la réussite de la mise en œuvre de tous vos dispositifs : l’humain. En effet, une entreprise est la somme de tous les individus qui la composent. Les êtres humains étant par définition imparfaits, ils peuvent commettre des erreurs.
En matière de cybersécurité, il est donc essentiel d’appréhender tous ces enjeux pour apporter des réponses pertinentes et efficaces.
Mettre en place une politique de la sécurité et une charte informatique
Le B.A BA de la sécurité informatique est de formaliser les éléments composant le système d’information à protéger : quelles sont les applications les plus sensibles ? Celles qui sont déterminantes pour le maintien et la poursuite de l’activité de l’entreprise ? Vous avez du réaliser ces étapes dans votre projet « Mise en conformité RGPD » (non !? vite au boulot). Elles vont vous aider à tracer les contours du périmètre des données à sécuriser.
Ensuite, vous devez procéder à la rédaction d’une charte informatique, si vous ne l’avez pas déjà fait … dans votre projet » RGPD ».
Elle a une double vocation :
- pratique : elle favorise la mise en place des mécanismes de surveillance des accès
- pédagogique : elle informe, sensibilise et responsabilise l’ensemble des collaborateurs de l’entreprise. Ils doivent savoir quels outils utiliser et pour quels usages, mais aussi quels comportements adopter pour limiter les risques (exemple : alerter sur les dangers liés au partage de données sensibles sur les réseaux sociaux).
Organiser une formation à la sécurité informatique
Même avec un système informatique ultra-protégé, les entreprises restent fragiles tant qu’elles ne font pas l’effort de sensibiliser et de former leurs équipes.
Le principal risque en matière de cybersécurité est le facteur humain. Faute d’avoir été suffisamment informés, vos collaborateurs multiplient les erreurs :
- utilisation d’un appareil personnel pour un usage professionnel (le système informatique peut alors « récupérer » un virus)
- mots de passe d’une simplicité enfantine et/ou identiques pour l’ensemble des comptes et des adresses e-mail
- divulgation de données importantes ou confidentielles sur les réseaux sociaux
- stockage de documents sur des applications cloud publiques
- ouverture de pièces jointes ou clics sur des liens envoyés par des expéditeurs inconnus
- utilisation d’une clé USB trouvée ou donnée
- surf sur Internet, à partir d’un appareil professionnel, à des fins personnelles et notamment sur des sites « à risque »
- absence de vérification de l’identité de l’interlocuteur (d’où le succès de la tristement célèbre « arnaque au président »)
- …
Dans ce domaine, la pédagogie est de mise. Il faut notamment expliquer les bons comportements, simples à appliquer, qui permettent de réduire considérablement l’exposition aux menaces extérieures. Toutes les situations doivent être envisagées et détaillées (exemple : comment réagir en cas de vol ou de perte d’un appareil mobile, à quelle fréquence réaliser des sauvegardes en fonction de la sensibilité ou de la confidentialité des données, comment partager des fichiers de façon totalement sûre, …)
Il faut aussi veiller à former l’ensemble du personnel, y compris les stagiaires, les intérimaires et les nouveaux collaborateurs arrivant dans l’entreprise.
L’avis de Laurent Brault, dirigeant de MDK Solutions
Concernant la charte informatique, il faut savoir qu’un document de ce type, même lorsqu’il est bien rédigé, n’a pas beaucoup d’efficacité s’il n’est pas adopté et maîtrisé par l’ensemble du personnel. Il est important de faire des formations de sensibilisation, d’explication, et de rappel.
Ces séances sont vitales lors de la rédaction et la mise en « exécution » des documents, mais également pendant toute la durée de vie de ceux-ci. Il s’agit d’un travail continu : les hackers ne vont pas baisser la garde au bout de 6 mois ! Au contraire, ils seront encore plus puissants et plus organisés.
D’ailleurs, il faut avoir conscience que toutes les mesures permettant de se constituer un « bouclier sécuritaire » (elles sont détaillées dans ce dossier en 3 parties), vont prémunir l’entreprise contre 95% des menaces. Les 5% restant demeurent toutefois sur la ligne de tir des hackers.
MDK Solutions a donc développé des gammes de produits dédiés aux usages nomades (Nomad Vault et Kryptkey) qui permettent de travailler en toute sécurité, sans installation préalable de logiciel sur l’ordinateur utilisé, sans accès à un site Internet, avec un chiffrement de bout en bout. Ces outils ne créent aucune interférence avec le système informatique de l’entreprise, donc ils n’affaiblissent pas le dispositif de sécurité mis en place. Pour l’entreprise, ils sont aussi nettement moins coûteux que de se retrouver avec une activité interrompue ou ralentie suite au vol ou au cryptage de données sensibles.