Aujourd’hui, les organisations sont confrontées à toutes sortes de menaces, qu’elles soient externes ou internes. A quoi faut-il penser quand on établit un système de sécurité ? Quelles sont les bonnes pratiques pour sécuriser son système d’information contre les différents types de failles ? Voici quelques conseils sur le sujet donnés par notre DSI.
Les différentes failles de sécurité
« Les organisations ont la nécessité de mettre en place tout un ensemble d’outils pour contrer les différentes menaces, qu’elles soient extérieures ou intérieures à leur structure. Pourtant, trop souvent, elles se focalisent sur les failles provenant de l’extérieur. Trop d’organisations se contentent de mettre en place une défense périmétrique. Celle-ci va permettre de constituer un périmètre de défense pour éviter les intrusions au système d’informations quand un attaquant se trouve à l’extérieur. C’est une très bonne chose, mais il ne faut pas oublier qu’une des premières failles de sécurité, c’est l’être humain. Souvent, la compromission des informations se fait en utilisant une faille sociologique ou psychologique.
Par exemple, de plus en plus souvent, les menaces proviennent de salariés qui envisagent de quitter la structure, qui sont mécontents. La méconnaissance ou le manque de formation peut aussi jouer. Sans penser à mal, un utilisateur va communiquer ses identifiants et mots de passe à un intervenant extérieur, ou les renseigner sur un site internet non sécurisé. Ce phénomène (phishing) est très répandu dans le grand public également. Les informations de connexion sont communiquées sans méfiance et peuvent ensuite être utilisées par un attaquant extérieur. » explique le DSI.
Quelles sont les bonnes pratiques pour sécuriser son système d’information ?
Il développe : « Il faut faire attention à ce que des gens internes à la structure n’aient pas accès à des données qui ne les concernent pas. Ça peut être des données sensibles ou confidentielles. L’équipe IT doit donc faire une distinction entre les données et les protéger en conséquence. Pour illustrer, le menu de la cantine ne sera pas protégé de la même manière qu’un fichier reprenant les salaires.
Ensuite, il faut tenir compte du facteur humain. La sécurité ne concerne pas uniquement les outils, mais aussi les utilisateurs. Il faut donc les sensibiliser, les former, pour supprimer certains risques. C’est une brique essentielle à intégrer dans son plan de sécurisation.
Ce plan, qu’il faut considérer comme une véritable stratégie de sécurité, doit forcément inclure des outils qui permettent de sécuriser sa structure au maximum. Pour cela, on peut envisager d’analyser les comportements à risque par exemple. Justement, Microsoft propose une suite de logiciels destinée à la protection contre les attaques à la fois extérieures et intérieures. Elle permet d’analyser et de détecter les failles, de vérifier le niveau de sécurité du SI, de bloquer certaines attaques. C’est une suite très complète pour garder un œil sur différents angles et agir si besoin.
Enfin, on ne peut pas se contenter de mettre en place une stratégie de sécurité à un instant T sans la remettre en question. En effet, elle doit être en évolution permanente afin d’anticiper les futures menaces. Les hackers cherchent sans cesse de nouvelles façons d’attaquer. Il faut pouvoir y faire face en étant préparé.
Ces bonnes pratiques permettent de sécuriser son système d’information de manière réfléchie et donc plus efficace. »
Peut-on obtenir le même niveau de sécurité on-premises et dans le cloud ?
« Beaucoup de structures se posent la question… On peut arriver à obtenir le même niveau de sécurité, qu’on soit en infrastructure on-premises ou cloud. La différence se trouve dans les outils et le chemin de mise en place. Ce n’est pas la même approche, si je dois résumer. » conclut-il.
