Un antivirus avec un pare-feu n’est pas une stratégie de sécurité. Pour les PME, la sécurité doit être la première priorité en matière de mise en oeuvre.
Définir une stratégie de sécurité.
Le principe de la stratégie est de ne pas se reposer sur un ou deux systèmes pour assurer la sécurité, mais sur un ensemble de protection complémentaire qui pourra pallier aux défaillances d’un élément de celle-ci.
Depuis 2015 la majorité des attaques (Kaspersky annonce 60%) sont cryptées, cette nouvelle méthode d’attaque annule un grand nombre de protections existant. Ainsi les pare-feu (firewall) avec analyse du trafic (UTM chez Zyxel, RFDPI chez Sonicwall) deviennent inopérants.
Votre stratégie de sécurité doit être régulièrement examinée, et vérifier qu’elle correspond encore aux nouvelles méthodes des hackers.
La sauvegarde
Premier élément de la sécurité, c’est depuis toujours la sauvegarde. Pour que son fonctionnement soit complètement opérationnel, il est très important qu’elle soit automatique.
Sauvegarde en local ou dans le Cloud
La bonne réponse c’est les 2. La sauvegarde locale permet de rapidement restaurer les fichiers. La sauvegarde dans le Cloud vous sera utile en cas de vol, incendie, etc.
Combien de temps êtes-vous prêt à perdre.
La logique des sauvegardes dans la grande majorité des PME/TPE est que celle-ci se réalise la nuit. Cette logique implique que vous êtes prêt à perdre au moins une journée de travail. Il est parfois possible de simplement faire une sauvegarde entre midi et 2 heures, voire de mettre en place des technologies de sauvegarde en temps réel toutes les 15 min par exemple.
Avant de choisir quand vous faites la sauvegarde, calculer combien vous coûte une journée sans serveur.
L’antivirus
L’antivirus est un élément indispensable à la sécurité de l’entreprise. Mais pour que celui-ci fonctionne parfaitement, il doit être régulièrement mis à jour. Sans mise à jour l’antivirus devient très rapidement (en moins d’une journée) complètement inefficace.
Centraliser la gestion de l’antivirus.
La centralisation de l’antivirus va permettre d’avoir un suivi des attaques que subit l’entreprise, et permettre de mettre en place un contrôle de l’usage de l’antivirus. Ainsi dans la règle le responsable informatique bloquera la possibilité de désactiver celui-ci sur le poste de travail. Il pourra recevoir chaque jour un rapport sur les problèmes potentiels de l’ensemble du parc.
Gratuit ou payant
La différence entre le gratuit et le payant, n’est plus le nombre de mise à jour ou la performance du moteur. La différence se situe dans le comportement, les versions gratuites auront une action lors de l’écriture sur le disque, alors que les versions payantes auront une action avant en analysant le trafic sur la carte réseau ou dans la mémoire de l’ordinateur. On parlera de comportement proactif.
L’antispam
La mise en place d’un très bon antispam est devenue obligatoire. Son rôle sera de compléter l’action de l’antivirus. Il pourra ainsi facile détecter les mails de phishing (l’hameçonnage ou filoutage) qui ont pour but de vous voler vos identifiants de connexion a des sites de banque par exemple.
Quel Antispam choisir.
Parmi toutes les solutions antispam du marché, les solutions Cloud sont les plus efficaces et les plus sécurisées. Ainsi l’usage par exemple de Google Apps for Work intègre un antispam et antivirus le plus efficace sur le marché.
Le spam c’est d’abord une question de volume d’envoi. Plus le serveur antispam reçoit de messages, plus il est à même de détecter l’envoi massif de spam.
La protection contre les logiciels publicitaires
L’installation de certains logiciels gratuits installe en même temps des logiciels publicitaires. Certaine bannière publicitaire de site web on aussi le même comportement, mais parfois plus sournois.
Ces logiciels ne bloquent ni n’altèrent le fonctionnement de votre matériel, c’est pourquoi la grande majorité des éditeurs d’antivirus ne détecte pas ce genre de menaces. L’usage de logiciel anti PUP (Malwarebytes, ADWCleaner, etc.) permet de nettoyer votre ordinateur de ces menaces.
Il existe des solutions gratuites et payantes, la différence est la même qu’avec les antivirus, la version payante apporte un comportement proactif, alors que la version gratuite est manuelle et curative (après être infecté).
Les mots de passe
Pas de sécurité sans une gestion des mots de passe. C’est pourtant le plus simple, et à la fois le plus compliqué à gérer. Personne n’échappe à la règle même les administrateurs réseau ont se problème. Pas facile de devoir mémoriser 15 mots de passe différents et de devoir les changer régulièrement.
Les gestionnaires de mots de passe apportent un début de solution (Dashlane, Lastpass,etc), mais leur solution reste limitée dans le cadre de l’entreprise. Ces systèmes très performants sont très efficaces sur les sites web, mais ils restent limités sur le premier mot de passe : un mot de passe pour les contrôler tous.
Mais des nouvelles solutions beaucoup plus performantes font leur apparition. Le principe est de supprimer le mot de passe pour l’utilisateur, ainsi il n’a plus à mémoriser aucun mot de passe, et il devient alors possible d’avoir des mots de passe très complexe (30 caractères) pour vos accès. Dans cette nouvelle méthode, on trouve Okta, OneLogin, etc.
Chaque intervenant sur votre système d’information doit avoir son propre login et mot de passe. L’usage du login administrateur est interdit dans l’entreprise. Méfiez-vous aussi des prestataires qui utilisent le même mot de passe chez tous leurs clients. Si ce mot de passe est malheureusement découvert, vos serveurs seraient alors une cible idéale pour les hackers.
Les mises à jour
Les mises à jour du système d’exploitation (Windows, Mac OS, Linux) sont un élément primordial de la sécurité. Vous devez avoir vos postes de travail et vos serveurs à jour au moins une fois par semaine.
Mais pas seulement, les logiciels commodité comme les navigateurs internet, Java, générateur de PDF, etc. Chacun présente régulièrement des failles, et doit être régulièrement mis à jour.
Il existe beaucoup de solutions pour la gestion des mises à jour des postes de travail, mais les meilleures solutions sont celles qui ne demande rien à l’utilisateur comme Chocolatey.
Le pare-feu (firewall)
Le principe du pare-feu est d’offrir un bouclier de protection depuis internet sur votre réseau d’entreprise. Si le principe est louable, souvent pour des raisons d’utilisation externes d’application de l’entreprise, il est faut faire des trous dans ce bouclier. Et chaque trou devient une faille, et donc une zone à risque. Il existe une méthode très simple pour sécurité un pare-feu : prendre le temps de bien le configurer, et pour les accès extérieurs utiliser un cryptage via des VPN.
Contrairement à ce qu’il est d’usage de croire, un VPN n’est pas une garantie absolue de sécurité. Suivant les méthodes de cryptage utilisées, il peut devenir complètement inefficace lui aussi. Le problème qui se pose pour les entreprises est la politique des constructeurs de firewall qui souvent au bout de 5 ans ne fournissent plus de mise à jour pour leur matériel.
Mettez à jour votre pare-feu (firewall) au moins tous les 6 mois, ou a chaque mise à jour du constructeur. Les systèmes de Box proposé par les fournisseurs d’accès internet sont régulièrement mis à jour par celui-ci. Mais les fonctionnalités de protection proposée sont souvent trop limité pour un usage en PME/TPE.
Le pare-feu est aussi très utile pour la mise en place du filtrage d’accès à internet, et de la mise en conformité avec la loi sur l’usage d’internet au sein de l’entreprise.
Une simple question de bon sens
Comme vous pouvez le constater, la grande majorité des éléments d’une stratégie de sécurité sont déjà présents au sein de votre PME/TPE.
La stratégie de sécurité ne demande pas d’investissement, mais simplement la mise en oeuvre de méthodes simples pour assurer la pérennité de votre entreprise. Elle doit impliquer tous les intervenants sur votre système d’information.
Centraliser la gestion de la sécurité.
C’est souvent l’élément manquant dans les PME/TPE c’est une gestion centralisée de la sécurité. Il est important pour que votre sécurité soit assurée que quelqu’un veille en permanence ait que chaque élément est opérationnel.
Chaque composant de la sécurité n’offre pas une sécurité à 100 %, chaque élément peut être individuellement pris en défaut. Chaque élément de la stratégie de sécurité permet d’obtenir un ensemble de protection qui, même en cas de défaillance d’un élément, permet de continuer de travailler.
Grâce à cette centralisation, en cas de défaillance ou d’incident, vous aurez l’information immédiatement et vous pouvez prendre les mesures correctrices. Il faut aussi avoir préparé en amont les mesures correctrices.
Processus incidents
Que faire quand il arrive une défaillance, une attaque de virus, etc. Souvent dans les PME/TPE qui n’ont pas mis en place de stratégie de sécurité, c’est un peu la panique.
La bonne méthode c’est d’abord que chaque utilisateur a toujours a porté de main, un simple fiche avec suivant l’incident que doit il faire, qui il doit contacter. C’est aussi possible de faire un affichage à proximité de la machine à café.
La deuxième étape est la mise en oeuvre d’un Plan de Reprise d’Activité (PRA) ou Plan de Continuité d’Activité (PCA). C’est le point faible, car seulement 30 % des PME françaises on préparer, tester leur PRA ou PCA.
Le principal frein à la mise en place d’un PRA ou PCA est que le dirigeant ne comprend pas son utilité, ou qu’il a l’impression que c’est un processus très onéreux sans garantie. Il existe des méthodes très simples pour mettre en oeuvre un PRA au sein de l’entreprise, le PCA étant lui beaucoup plus complexe à mettre en oeuvre, car il induit que la coupure est pratiquement inexistante.
Combien cela coûte.
Voici la question piège, car beaucoup de facteurs entrent en compte : le volume des données à sauvegarder, le nombre de postes, etc.
Suivant la taille de votre entreprise, le coût varie entre 120 et 200 € par utilisateur et par an pour les techniques de base cité ci dessus (prix fortement variable suivant le volume de la sauvegarde).
Et votre site web
La stratégie présenté est pour le réseau de l’entreprise, mais il ne faut non plus oublier votre site web qui a aussi besoin d’être protégé.
Vous souhaitez nous contactez, utiliser le formulaire ci dessous.