Comment protéger ses systèmes d'information légalement et à moindre coût?

Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012 1

Sommaire 1. Rappel sur les enjeux 2. Les solutions pour renforcer la sécurité éde son système d information 2

Rappel sur les enjeux L information est un actif qui, comme d autres actifs importants, a de la valeur pour une organisation et doit donc, en conséquence, être protégé de manière adéquate. Partagée ou stockée, l information nécessite d être convenablement protégée. 3

Rappel sur les enjeux 4

Sommaire 1. Rappel sur les enjeux 2. Les solutions pour renforcer la sécurité éde son système d information 5

Politique de sécurité informatique de l entreprise 12 thèmes à aborder Sécurité du(es) poste(s) de travail fixe(s) Charte de bon usage du SI Sécurité des postes nomades Sécurité du(es) serveur(s) Sécurité physique des locaux Sécurité du réseau informatique Sécurité des accès logiques Sauvegarde des données Formation des utilisateurs Sécurité des échanges sur internet t Continuité des activités métiers Conformité légale 6

Sécurité du poste de travail 1. Limiter les droits administrateurs 2. Mettre à jour OS et logiciels 3. Installer un logiciel anti virus (empêcher la désactivation de l'antivirus) Exemple de logiciels gratuits : AVAST!, AVG, AVIRA ANTIVAR, BITDefender. 4. Désactiver le boot Cdrom 5. Installer et configurer un pare feu 6. Mettre en œuvre des solutions de chiffrement des données Exemple de logiciels gratuits : TrueCrypt, AxCrypt, Security Box. 7. Mettre en œuvre des solutions de suppression définitive des fichiers Exemple de logiciel gratuit : ERASER 8. Sécuriser les supports amovibles (clés USB, disques durs externes, ) 7

Sécurité du serveur 1. Mettre à jour OS et logiciels 2. Installer un logiciel anti virus 3. Renforcer la configuration du système (suppression des services inutiles) 4. Contrôler l accès aux fichiers et zones temporaires (résidus) 5. Installer et configurer un pare feu 6. Mettre en œuvre des solutions de chiffrement des données sensibles 7. Limiter les accès de télémaintenance 8. Garder une trace des accès au serveur (journalisation des évènements) 8

Sécurité du réseau 1. Isoler le réseau local du réseau internet 2. Installer des systèmes de filtrage (Firewall) 3. Installer des systèmes de surveillance (IDS) 4. Protéger les connexions WIFI 9

Sauvegarde des données 1. Sauvegarder régulièrement les données stockées sur les serveurs et sur les postes de travail 2. Externaliser les supports de sauvegarde 3. Faire des tests de restauration 10

Sécurité des échanges sur internet 1. Limiter la transmission en clair des pièces jointes aux courriels Utiliser le chiffrement des fichiers, insérer des mots de passe aux fichiers bureautiques. 2. Bloquer ou limiter les accès aux sites non professionnels 3. Supprimer régulièrement les traces de connexion dans les navigateurs (historique, cookies, etc.) 4. Mettre en œuvre des solutions VPN (canal chiffré sur internet) pour les connexions externes sur le réseau de l entreprise 5. Limiter l usage des solutions de stockage sur internet (Cloud) 11

Sécurité des postes nomades 1. A minima, appliquer les mêmes mesures techniques que pour les PC fixes 2. Limiter l usage du PC portable à un usage professionnel 3. Renforcer les consignes de protection contre le vol et l usage dans les lieux publics 1. Rendre obligatoire i de saisir ii un mot de passe pour utiliser le téléphone (effacement automatique après 5 tentatives erronées) 2. Appliquer un verrouillage automatique du téléphone 3. Prévoir l effacement à distance du téléphone en cas de perte ou de vol 4. Accès distant et sécurisé à la messagerie individuelle (cryptage des données transmises) 5. Renforcer les consignes pour limiter le téléchargement d applications 12

Sécurité physique 1. Installer les serveurs et les éléments actifs du réseau local dans un local sécurisé 2. Renforcer la sécurité des accès aux locaux et aux bureaux des utilisateurs 3. Renforcer les consignes de rangement des bureaux 4. Renforcer les procédures de contrôle d accès des visiteurs ou intervenants externes 5. Prévoir le marquage / l étiquetage des matériels informatiques 6. Fixer au mobilier les équipements sensibles 13

1. Renforcer les directives de changement des mots passe Taille minimum recommandée : 8 caractères Composé de caractères spéciaux et alphanumériques Régulièrement changé (tous les 6 mois par exemple) 2. Renforcer les directives de protection des mots de passe Pas de partage des mots de passe entre les utilisateurs Pas de post it 3. Prévoir une déconnexion automatique des sessions 4. Envisager uncontrôle d accès renforcé pourles postes les plus sensibles Token, carte à puce, One Time Password, etc. 5. Renforcer les procédures de gestion des droits Sécurité logique des accès 14

Formation des utilisateurs 1. Sensibiliser le personnel sur les risques liés à l usage d internet Les risques liés à l usage des réseaux sociaux Les risques liés à l usage du courrier électronique Les risques liés à l usage de certains sites web Les virus informatiques et les spams. 2. Former les personnels sur l usage des solutionssécurisées disponibles Utilisation des fonctions sécurisées de la messagerie (signature, chiffrement, etc.) Suppression des traces de connexions dans les navigateurs Utilisation des fonctions de sécurisation des fichiers bureautiques Utilisation du logiciel anti virus 15

Continuité d activité 1. Prévoir des procédures de secours en cas d indisponibilité prolongée du SI 2. Prévoir des solutions de secours informatiques 3. Prévoir une organisation dédiée à la gestion de crise 4. Prévoir des exercices réguliers de vérification des solutions de secours 16

Conformité avec les obligations légales 1. Respecter les obligations légales Loi «informatique & libertés» Formalité administrative (déclaration) Licéité des traitements de données à caractère personnel Sécurité et confidentialité des données Respect des droits des personnes concernées Conservation de preuves légales Propriété intellectuelle Vidéo et cyber surveillance des salariés 2. Consigner les droits et les devoirs des utilisateurs et de la direction de l entreprise dans une charte informatique (validée par les représentants du personnel) 3. Faire une veille régulière sur les évolutions de la législation 17

En conclusion 55 mesures de sécurité ont été évoquées : 40 ne nécessitent pas d achats de matériels ou de logiciels ; Il est cependant nécessaire de prévoir des JH pour la mise en œuvre de ces mesures et leur maintien condition opérationnelle ; Toutes ces mesures ne sont pas nécessairement à mettre en œuvre (chaque entreprise doit définir ses besoins de sécurité). Il convient également de s inscrire dans une démarche d amélioration continue (démarche qualité) qui est aujourd hui normée (ISO 27001). Un diagnostic initial permet d avoir un aperçu des actions à mener en fonction des enjeux de l entreprise, les risques auxquels elle s expose et des moyens humains et financiersdisponibles. i ibl 18