Déni de service, vols de données, ordre de virement frauduleux, fuite d’information sensibles, chiffrement et chantage : l’époque a indubitablement changé et le risques numérique n’est plus une légende fictionnelle. Sur l’échelle des risques, l’État a d’ailleurs rehaussé en 2013 le niveau des risques numériques pour les classer en deuxième position, juste derrière les risques d’attentats terroristes et loin devant les catastrophes naturelles ou le crime organisé. Pour aider les entreprises à mieux se prémunir, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié début 2017 la seconde version de son Guide d’Hygiène Informatique. Une feuille de route de 42 mesures pour optimiser la sécurité de son système d’information, truffées de bonnes pratiques et de recommandations. En voici un aperçu.
• Réaliser un état des lieux des données sensibles : Quelles sont les informations sensibles susceptibles d’intéresser les hackers ? Où sont-elles stockées ? Il faut par exemple faire particulièrement attention aux données déposées sur le cloud, comme on l’a vu précédemment, ou encore transmises par mail ou via clé USB.
• Mettre en place différents niveaux de sécurité et créer des identifiants : tous les salariés ne doivent pas avoir accès à toutes les données, et c’est aussi vrai pour les sous-traitants et hébergeurs cloud. Il faut établir différents niveaux de confidentialité, à partir de l’audit des données réalisé en amont et après avoir défini quelles sont les informations les plus sensibles, celles qu’il faut protéger.
• Sensibiliser les équipes au risque de piratage pour favoriser la mise en place de bonnes pratiques dans leur quotidien : 80 % de la sécurité économique est liée à des comportements humains, d’où l’importance de la sensibilisation. Il s’agit d’encourager les employés à sécuriser leurs mots de passe en leur imposant certaines règles, à ne pas ouvrir les pièces jointes de mails venant d’adresses inconnues, à être vigilant dans l’usage des réseaux sociaux, dans l’usage de leurs appareils privés pour travailler, etc..
• Mettre à jour les systèmes d’information et antivirus régulièrement, sauvegarder périodiquement les données stratégiques et les stocker à plusieurs endroits.
• Gérer le nomadisme : avec un usage de plus en plus fréquent de terminaux privés pour travailler (smartphones, tablettes ou ordinateurs portables), les employés sont souvent amenés à travailler et communiquer en dehors du réseau sécurisé de l’entreprise. La gestion de la mobilité et la sécurisation des données utilisées dans ce cadre-là représentent donc un enjeu plus que jamais majeur.
