Après avoir étudié les éléments de base de la sécurité des PME : je vais maintenant aborder l’approche stratégique de la sécurité . L’objectif est de bien comprendre comment repenser la sécurité en 2016, et en oubliant les technologies antérieures à 2014.
Si vous trouvez que c’est trop long à lire, nous pouvons vous faire parvenir un résumé.
L’approche stratégique
Au cours des 4 premiers articles, j’ai abordé les outils pour la gestion de la sécurité. Ils sont indispensables, mais pas suffisants :
- Les pare-feu ne sont plus aussi efficaces
- Les antivirus ont des failles et limites par la base de signature
- Les anti PUP ne solution pas tous les attaques
- L’anti spam n’est pas toujours aussi efficace qu’il devrait l’être.
L’approche stratégique, c’est des méthodes à adapter à votre entreprise suivant sa taille et le niveau technologique des utilisateurs. Mais même si vous êtes entrepreneur solo, vous devez mettre en place une stratégie de sécurité.
Les mots de passe
L’un des éléments clé de la sécurité des données stratégique de l’entreprise, c’est le mot de passe. Et trouver le bon c’est pas facile, et si en plus l’informatique vous demande de le changer tous les 2 mois cela devient l’enfer pour les utilisateurs.
Il existe énormément de technique pour avoir un bon mot de passe, mais la meilleure c’est l’aléatoire. Mais comment mémoriser un mot de passe aléatoire ? Simplement en ayant pas besoin de le mémoriser. Google a fait récemment un essai de la suppression du mot de passe et de l’utilisation du téléphone mobile de l’utilisateur pour valider l’ouverture de session. Mais il existe d’autres solutions comme Okta, Centrify, Onelogin qui permettent de gérer ce type de mot de passe.
C’est le principe du toquent, vous avez une clé (ou un téléphone) quand vous souhaitez vous connectez vous calculer un mot de passe qui est unique et vous n’avez plus qu’a le saisir. Plus besoin de mémorisé des dizaines de mots de passe suivant votre boite mail, votre connexion Windows, vos réseaux sociaux. C’est une technologie mature, et qui garantit la sécurisation par mot de passe.
L’autre solution c’est d’utiliser un générateur de mot de passe, qui va aussi stocker celui-ci sur le site web que vous allez visiter. Pour cela on peut citer LastPass, ou Dashlane. Le principe c’est un mot de passe pour les trouver tous (oui je sais un anneau). Ou simplement Keepass pas très conviviale mais très efficace. À noter que Korben a publié un article sur une nouvelle interface web pour Keepass mais je n’ai pas encore eu le temps de tester KeeWeb.
Les mots de passe sont la clé de vos données d’entreprise, un mauvais mot de passe et vous pouvez tous perdre, y compris vos sauvegardes ! À partir de 2016 il faut privilégié les solutions d’ouverture de session via token, c’est fiable, facile, et pas très cher, environ 4 € par utilisateur.
Gestion des rôles
La gestion des rôles à deux niveaux :
- Chaque login est associé à un rôle
- Les applications sont accéssiblent uniquement par les rôles
Du coté technique du SI, chaque utilisateur appartient à un groupe et pour chaque groupe un rôle dans la PME. Cela présente comme premier avantage de simplifier énormément la maintenance et les changements du coté utilisateur. Les règles de sécurité sont définies au départ pour chaque rôle n’ont plus besoin d’être modifiés en permanence lors de promotion interne ou lors de l’embauche d’un nouveau salarié.
Du côté des administrateurs du SI, chaque administrateur (ou prestataire) a son propre login, ce qui permet de facilement suivre les modifications de chacun. Mais cela permet aussi de limiter l’impact des taches réalisées par chaque administrateur. Le mot de passe administrateur n’est connu de personne, ou seulement du dirigeant. Comme chaque action peut être identifiée cela permet de tracer et responsabiliser l’usage des comptes administrateurs.
Les applications accessibles uniquement par les rôles sont plus complexes à mettre en oeuvre. La raison est simple, grande majorité des logiciels présents dans les PME ne permettent pas de réaliser cette opération. Cette méthode de sécurisation devra faire partie de votre prérogative lors de l’achat de votre prochain logiciel métier. C’est le même principe que pour les partages, on fixe les personnes dans un rôle cela leur donne accès à certain élément, et on retrouve les mêmes rôles directement dans l’application. Ainsi à un login Windows sont associés des partages et l’accès a certaines fonctions des logiciels. Par exemple la comptable (rôle responsable comptable) aura accès aux informations financières dans la comptabilité, mais son assistant (rôle assistant comptable) n’aura pas accès à ses informations.
On retrouve cette notion de rôle aussi dans les applications Cloud. Ainsi l’annuaire de l’entreprise sera consulté avant de donner accès à une application Cloud.
Pour reconnaitre les applications qui gèrent les rôles : elles sont comptatible LDAP, Windows Active Directory (LDAP de Windows).
Vos administrateurs internes ont trop de privilèges
Par défaut les administrateurs informatiques ont le droit de tout faire, et de tout voir sur les postes et les serveurs de l’entreprise. Cela peut dans de nombreux cas poser des problèmes de confidentialité.
Ou plus simplement, pourquoi vos administrateurs internes ont le droit de consulter toutes les fiches de paye de l’entreprise.
Il est pourtant facile de mettre en place une solution pour que les administrateurs internes n’ait pas accès à toutes les informations de l’entreprise. Cela demande juste un peu de réflexion au départ, et une compréhension de la part de l’administrateur.
Pour les administrateurs externes le problème ne pose pas, car vous avez l’assurance par votre contrat qu’ils sont soumis à une clause de confidentialité absolue.
Contrôler les sorties
Combien de salariés qui ont quitté l’entreprise ont encore leur login et mot de passe qui fonctionne ? Beaucoup trop. Si vous n’avez pas une procédure pour la gestion du départ des salariés, vous avez un risque très important que celui-ci conserve certains accès à votre système.
Un exemple de check-list (partielle) :
- Bloquer le compte de l’utilisateur
- Bloquer l’accès à la messagerie
- Bloquer l’accès au CRM
- Bloquer l’accès aux applications métiers
- Purger les données professionnelles présentes sur son téléphone
- etc.
Comprendre la sécurité
La sécurité n’est pas basée uniquement sur des outils, elle est basée sur des processus d’entreprise qui garantissent un bon niveau de protection des données de l’entreprise.
Tous les systèmes de sécurité ont des failles, vos processus permettent de dépasser cette limite.
Depuis 2015, et encore plus en 2016 la sécurité ne peut plus se reposer uniquement sur les outils logiciels, elle doit être complétée par des processus qui assureront la sécurité lorsque les outils seront défaillants.
Laisser un commentaire