Parole d'un expert

#2 Parole d’expert : Comment protéger les données de mon entreprise ?

Protéger les données de mon entreprise

Les cyberattaques informatiques sont de plus en plus régulières et ciblent tous types d’entreprises comme les TPE/PME mais également les particuliers. Le but est de récupérer vos données récoltées et accumulées ce qui constituent pour beaucoup un véritable trésor.

En effet de nos jours, les données d’une entreprise constituent une véritable banque d’informations et de connaissances qui permet à l’entreprise de progresser et de se développer petit à petit. L’entrée en vigueur de la loi RGPD (Règlement général sur la protection des données) a permis à bon nombre de prendre conscience de l’importance de la confidentialité des données. Nous allons voir ensemble les principaux dangers liés à une mauvaise sécurité mais surtout les bonnes pratiques à appliquer pour protéger ses données.

Pour commencer, nous pouvons noter les principaux dangers dus à une mauvaise sécurité :
• L’accès à des données à des personnes non autorisées
• La perte ou la destruction des données
• L’altération des données

On peut noter également que les causes qui peuvent mener à la perte de données ne sont pas forcément la conséquence d’une attaque informatique, voici quelques cas typiques :
• Mauvaise manipulation
• Crash d’un disque dur ou panne diverse
• Vol du matériel informatique
• Incendie / inondation

Pour vous permettre de lutter contre ces menaces, voici quelques bonnes pratiques à mettre en place pour assurer la sécurisation des données de votre entreprise :

1- Adopter et respecter une politique de gestion de mot de passe rigoureuse

Le mot de passe constitue la première protection pour restreindre l’accès à un poste de travail ou à un fichier. Un mot de passe fort se traduit par un ensemble d’au moins 8 caractères combinant lettres, chiffres et caractères spéciaux. Il devrait être renouveler de manière fréquente, dans l’idéal tous les 3 mois.

2- Mettre en place une procédure de création et de suppression des comptes utilisateurs avec les droits correspondants

La mise en place d’une telle procédure permet de se munir d’un outil de traçabilité en adéquation avec la norme RGPD dans le but responsabiliser l’ensemble des intervenants. C’est un moyen efficace de s’assurer des droits de chaque utilisateur et d’identifier de manière précise qui peut avoir accès aux données à protéger.

3- Assurer la confidentialité des données vis-à-vis des prestataires

Toutes les interventions effectuées par un prestataire doivent être encadrées. Nous conseillons à fois une clause de confidentialité dans votre contrat de sous-traitance et également de consigner les interventions dans un registre.

4- Sécuriser les postes de travail ainsi que le réseau

Pour sécuriser au maximum les postes de travail et le réseau. Voici quelques exemples de bonnes pratiques :
• Déployer des logiciels de protections appropriés (antivirus, anti-phishing , anti-spyware, …)
• Mettre en place un pare-feu, un proxy et toutes protections nécessaires contre les attaques informatique provenant de l’extérieur. Ces outils permettent d’enregistrer, d’analyser et de bloquer toutes les connexions inopportunes
• Contrôler le matériel fourni aux salariés (les clés USB doivent être bloquées, les salariés ne doivent pas disposés de compte administrateur…)

5- Assurer la sécurité de l’accès physique aux locaux

L’accès aux salles d’hébergement des serveurs informatiques et de tout autre type de matériel doit être strictement limité aux personnes habilitées.

6- Anticiper la perte ou la divulgation de données

Les données d’une entreprise doivent faire l’objet de sauvegardes régulières. Ce à quoi nous pouvons ajouter les restrictions suivantes :
• Les supports de sauvegarde doivent être stockés dans un endroit sécurisé
• Un contrôle du bon fonctionnement des sauvegardes doit être effectué régulièrement
• Une procédure de rétablissement des sauvegardes doit être mise en place.

7- Sensibiliser les salariés

Les risques ne proviennent pas que de l’extérieur mais peuvent également si situer en interne. L’erreur humaine est ainsi considérée comme un risque majeur en informatique. Il est primordial de sensibiliser vos salariés contre les différents risques informatiques (Phishing, lien frauduleux, clef USB malveillante…etc )

Conclusion

Comme nous avons pu le voir, il existe plusieurs types de menaces qui peuvent peser sur votre entreprise comme le vol ou la destruction de vos données. Des actions simples peuvent être mises en place à condition de les faire respecter par chacun. Pour cela, la sensibilisation régulière de votre personnel est un moyen indispensable pour protéger votre entreprise.

Author

Antoine Labbe

Antoine, CTO d'Intuity, spécialisé dans les tests d'intrusion (certifié OSCP) intervient régulièrement pour assurer la sécurité de grands groupes en tant qu'expert cybersécurité.

Votre entreprise est domiciliée en Île-de-France ?

Cette offre devrait vous plaire…

Votre pentest à 1290€ HT au lieu de 6290€ HT*