• Espace exposant

  • Badge visiteur

  • Liste des exposants

  • Industrie infos

  • Trophées

  • Facebook

  • Twitter

Retour à la liste

Sécurité des données d'information

Avec la fin de l’hiver et la reprise des activités à plein régime, la sécurité des systèmes d’information dans les PME est parfois délaissée au profit d’actions aux résultats plus immédiat. Voici quelques conseils utiles que conseille Jocelyn BOUILHOL, de l’Association « Espace Numérique Entreprises » qui promeut le dispositif SI PME, destiné à aider les entreprises à faire évoluer leur système d’information.

 

La sécurité des systèmes d’information dans les PME

Le scandale PRISM dela NSAa mis sur la place publique des pratiques choquantes de renseignement économique et généré un regain de doute sur la sécurisation de nos informations sensibles. Il est de la responsabilité des dirigeants d’entreprises de prendre les mesures adéquates pour prévenir ces risques importants que font planer ces organes de surveillance.

Mais, le véritable sujet préoccupant est la protection des données de vos clients qui transitent par votre système d’information. Ces derniers pourraient rechercher votre responsabilité en cas d’incident ou de fuite de donnée. Nous vous proposons quelques pistes de réflexion si vous n’avez pas déjà mis en œuvre toutes les solutions nécessaires.

 

Audit de sécurité 

Il est recommandé de lancer cet audit pour faire le point sur l’ensemble des éléments qui composent votre système d’information. Une analyse uniquement technique ne suffit pas et vous devez intégrer celle de votre organisation et de la sensibilisation de vos salariés : la présence sur les réseaux sociaux professionnels et salariés en mobilité (tablettes, PC) sont de nouvelles pratiques à prendre en compte.

À la suite de cette étude, sera établie une matrice des dysfonctionnements et risques constatés à partir de laquelle les corrections et plans d’actions nécessaires pourront être préconisés.

Les points essentiels de la sécurité du système d’information 

La base consiste en la bonne configuration du firewall, mais une vraie politique de sécurisation du système d’information se poursuit par la réalisation d’un PCA (Plan de Continuation d’activités). Il part de la logique préventive suivante : si un jour ma structure doit subir un incident, quelle est la procédure que nous avons mis en place pour continuer à travailler malgré cette avarie ? Le PCA se complète d’un PRA (Plan de Reprise d’Activités) destiné aux mesures à mettre en œuvre après un incident grave qui aurait complètement bloqué les outils numériques. Ces procédures prévoient la réalisation de sauvegardes régulières avec un planning précis et la marche à suivre pour le redémarrage du système.

Une autre bonne pratique est la rédaction d’une charte informatique destinée à l’ensemble des salariés (direction comprise !) qui précise le mode d’emploi du système informatique et ce que le salarié a le droit de faire ou pas avec les outils mis à sa disposition pour travailler. Ces « bonnes dispositions » comportent des limites car le risque zéro n’existe pas, sauf à bloquer plus ou moins tout le système. Il faut donc savoir mettre le curseur au bon degré entre simplicité d’utilisation et le niveau de sécurité nécessaire. Attention, il ne s’agit pas de fermer tous les accès, car l’entreprise n’est pas une forteresse blindée mais de connaître la cartographie des risques qu’on prend.

La classification des données dans l’entreprise est une démarche indispensable. Elles se répartissent en données « blanches » (70 à 80 % des informations produites par l’entreprise et qui ne sont pas capitales), « grises » (les projets en cours), « noires » (5 %  des données de l’entreprises : fichier client, innovations et tout ce qui relève des nouveaux produits). En sécurisant totalement ces 5 %, on limite la plus grande partie des risques.

Enfin, il faut aussi tenir compte du fait qu’une PME sous-traitante a pour client un donneur d’ordres. Et si une personne mal intentionnée voulait accéder aux données de ce dernier, le maillon faible ciblé pourrait être cette PME. D’où la nécessité de prendre les mesures permettant de sécuriser son système informatique, pour soi-même comme pour ses clients.

 

Trouver les bons conseils utiles 

Le premier réflexe est souvent de se tourner vers les Chambre de Commerce et d’Industrie qui disposent pour la plupart de services d’intelligence économique. Sous ce label sont réunies toutes les mesures destinées à manier (offensivement et défensivement) les données informatiques de son entreprise. Les organisations professionnelles et syndicats patronaux proposent également ce type d’informations et de services. La gendarmerie etla Direction Centraledu Renseignement Intérieur (DCRI) peuvent être d’un grand secours en cas d’attaque informatique. Enfin, il existe des formations qui présentent un panorama de toutes ces questions et qui peuvent être complétées par la réalisation d’un audit et l’ébauche d’une charte informatique. En région Rhône-Alpes, l’Espace Numérique Entreprise réalise ce type d’accompagnement financé en partie par les pouvoirs publics.

Une TPE peut respecter des règles de base pour se protéger en réalisant une sauvegarde hebdomadaire sur un disque dur externe (qui ne doit pas être stocké à coté du serveur !). Pour exemple, citons le cas d’une TPE qui a été victime d’un sabotage interne entraînant la suppression des répertoires des ordinateurs de la société. Une pratique régulière de sauvegarde permettra d’en limiter les conséquences. Toutefois, si aucune mesure préventive n’a été élaborée, ces données sont récupérables moyennant un coût assez élevé.

Lorsqu’on a connu ce genre de difficultés, on n’a aucun problème à engager les investissements nécessaires en outils et en formation pour éviter son renouvellement. Si vous ne les avez pas encore vécus, il est temps de vous protéger !

 

 

Pour en savoir plus : ENE (Lyon) 04 37 64 46 10 - www.ene.fr et le réseau des CCI de France.

Guide de la bonne hygiène informatique édité par l’ANSSI (Agence nationale de la sécurité des systèmes d'information) : http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf