Quel plan d'actions pour éviter les pertes de données ?
Face à la recrudescence des attaques informatiques dans tous les secteurs d'activité et même pour les plus petites entreprises, il devient indispensable de consacrer un peu plus de moyens à la sécurisation de ses données. Dans cet article, vous trouverez un plan d'actions à mettre en place sur 6 semaines afin d'améliorer la résilience de votre structure par rapport aux risques cyber. Vous ne pourrez peut-être pas tout mettre en place, mais cela constitue un fil conducteur sur le chemin de la sécurisation.
Cybersécurité : les failles humaines et techniques
De manière générale, 63 % des incidents proviennent d’un collaborateur. Ils ne sont généralement pas assez formés aux risques et à la détection des attaques et ont souvent accès à des informations sensibles dans l’entreprise.
Les failles techniques, quant à elle, peuvent affecter les postes de travail, les serveurs ou le réseau. Avec des risques allant de la cyberattaque aux dégradations suite à incendie ou inondation, en passant par les vols de matériels.
Comment améliorer la sécurité dans ces différents domaines en 6 semaines ?
Semaine 1 : le diagnostic cybersécurité
Avant de commencer le plan d’action, il faut désigner des responsables pour le concevoir et l’appliquer…
2 profils sont indispensables, mais peuvent être externalisés :
- un chef de projet qui suivra
- un chargé informatique et réseau
Conseil : Le chef de projet peut se former tout au long du plan d’action. Les connaissances informatiques et juridiques ne sont pas des prérequis essentiels et peuvent être acquis au fur et à mesure.
... et choisir un outil qui permettra de suivre l'avancement des actions. En voici quelques uns :
- Trello : Outil de gestion de projet collaboratif et gratuit (https://trello.com/fr)
- Gitlab : fonctionne comme Trello avec des fonctionnalités plus poussées (https://about.gitlab.com/)
- Google docs : outil bureautique collaboratif et gratuit (https://www.google.fr/intl/fr/docs/about/)
Ensuite nous entrons dans le vif du sujet : réaliser un diagnostic de son système d'informations !
1- Réalisez une cartographie de vos systèmes et des données
- Où sont stockées vos données sensibles ?
- Quels logiciels utilisez-vous ?
- Quels types de données avez-vous ?
- Qui a accès aux données ?
Avec les informations ci-dessus, vous pouvez :
- Etablir ou mettre à jour le registre des traitements (https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement)
- Lister les habilitations du personnel pour chaque logiciel avec le profil et le mode d'authentification
2- Réalisez une cartographie des risques
- Quels sont vos actifs principaux (donnés, process,...) ?
- Quels sont vos actifs secondaires (locaux, équipements, équipes,...) ?
- Quels sont les risques de sécurité pour chacun d'eux (vol de matériel, cyberattaque sur vos serveurs, pertes de compétences suite au départ de salariés,...)
3- Etablissez un budget
- Quels sont les moyens de l’entreprise ?
- Etes vous prêt à investir ?
Semaine 2 : établir le plan d’action cybersécurité
- Réfléchissez aux mesures de prévention des risques
- Listez les priorités mises à jour selon le diagnostic
- Organisez votre plan d’action en 4 thèmes :
- Les procédures
- L'équipe
- La technique
- Le matériel et les locaux
Exemple de plan d’action
Procédures :
- Créez une charte de sécurité informatique
- Mettez à jour les habilitations
- Réalisez une procédure des entrées et des sorties du personnel
- Vérifiez la bonne mise en place des procédures et des actions
Equipe :
- Réalisez une formation de sensibilisation avec les nouvelles procédures
- Formez les employés à la détection des phishings
- Faire signer la charte de sécurité
- Mettez en place la double authentification (A2F)
- Mettez en place le verrouillage automatique des postes
- Mettez en place une politique pour le téléchargement d’un logiciel
- Réalisez des quizz sur les phishings
- Limitez la connexion des supports mobiles
- Faire des mises à jour régulière
Technique :
- Sauvegardez vos données
- Installez un anti-virus
- Installez un pare-feu
- Limitez les ouvertures avec un bon firewall
- Monitorez vos serveurs
- Loggez les accès admin
- Configurez le serveur de mail pour empêcher le relais d’e-mail
Matériels et locaux :
- Sécurisez l’accès aux locaux (alarme, badge, extincteur…)
- Sécurisez les documents confidentiels sous clés
- Achetez un destructeur de papier
Semaine 3 : écriture des procédures, devis, …
- Réalisez les devis pour sécuriser le matériel et les locaux
- Réalisez des devis pour choisir votre prestataire de sauvegarde externalisée et créez un compte de démo
- Créez la charte de sécurité
- Créez la procédure d’entrée et de sortie des employés (comment doit se passer une embauche, un départ ? Quid de la confidentialité après le départ d'un salarié ? De ses comptes d'accès ?
- Créez la liste des logiciels autorisés dans l’entreprise
- Revoyez les habilitations des employés
- Choisissez un gestionnaire de mot de passe (ex : lastpass, dashlane)
La charte de sécurité : quels points clés ?
L’objectif : informer l’utilisateur sur les règles, les mesures de contrôle et les sanctions
- Etre clair et précis
- Définir les droits et les devoirs
- Définir des mesures de contrôles
- Définir des sanctions en cas de non respect
Ressources :
Guide de la SSI : https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pdf
Modèle de charte : https://www.donneespersonnelles.fr/charte-informatique-mode
La sauvegarde externalisée : quels points clés ?
Seule méthode fiable pour récupérer vos données en cas d’attaque
- Testez la solution en effectuant régulièrement des restaurations
- Revérifiez fréquemment le paramétrage de vos postes
- Choisissez une solution traitant intelligemment les gros fichiers…
- Ainsi qu’un taux de backup réussi supérieur à 95 %
La sécurisation technique : quels points clés ?
- Choisissez et installez un anti-virus
- Choisissez et installez un pare-feu
- Monitorez vos serveurs
- Loggez les accès admin
- Configurez le serveur de mail pour empêcher le relais d’e-mail
Conseil : Ces actions peuvent être réalisées de façon indépendante. Vous pouvez mettre en place cette liste jusqu’à la semaine 6
Semaine 4 : sensibilisation des collaborateurs
1- Faites signer la charte de sécurité
Celle-ci doit mentionner les nouvelles procédures à suivre par les collaborateurs.
Par exemple :
- Authentification double facteur
- Gestionnaire de mot de passe
- Verrouillage du poste
- Nouvelles habilitations
- Liste des logiciels autorisés et procédure pour demander l’ajout d’un logiciel
- Procédure d’entrée et de sortie
- Connexion internet hors locaux
- Mise à jour régulière des postes
2- Réalisez des sensibilisations au phishing
Ressources : exemples de Quizz phishing
https://www.safeonweb.be/fr/participation/add/55
https://www.phishingbox.com/phishing-test
https://phishingquiz.withgoogle.com/
https://www.bnz.co.nz/personal-banking/everyday-banking/keep-yourself-safe-online/phishing-quiz
https://accellis.com/email-phishing-quiz/
Ressources : vidéos de la Hack Academy
https://www.youtube.com/channel/UCUOv_-zvnt7ai-xiPp0dJrw
Semaine 5 : mise en place de la sécurisation des locaux
Check-list :
- Alarme
- Badges pour entrer dans les locaux
- Extincteurs en place et révisés régulièrement
- Documentation confidentielle sous clé
- Destructeur de papier pour les documents confidentiels
- ...
Conseil : pensez à former vos collaborateurs à la sécurité et la santé en entreprise (SST)
Semaine 6 : vérification générale
C'est le moment du bilan :)
1- Vérification du respect des procédures
Faites une revue de l’ensemble des machines pour savoir si les éléments suivants sont mis en place :
- La double authentification
- Le verrouillage automatique du poste
- Les mises à jour (logiciels, OS, …)
- Le gestionnaire de mot de passe
- L’anti-virus
- Le pare-feu
- La sauvegarde
2- Check-list générale
Pour partir sur vos 2 oreilles (en congés par exemple), vérifiez que les actions prioritaires de votre plan d'action ont bien été mises en place. Si elles ne le sont pas, repriorisez-les et statuez sur le fait que vous acceptez les risques encourus jusqu'à leur mise en place effective.
3- Des actions qui s'inscrivent dans la durée
Les actions suivantes vous permettront de faire vivre votre plan d'actions sur la durée :
- Mettre en place un comité de sécurité mensuel pour valider les actions réalisées, prioriser les suivantes et animer le volet cybersécurité de votre entreprise au fil du temps
- Organiser des revues annuelles ou semestrielles des serveurs, des droits d'accès, des postes de travail, des contrats, des procédures, de votre analyse des risques, ...
- Réalisez des actions de sensibilisations trimestrielles de vos équipes à la cybersécurité
En conclusion : la sécurité informatique est un élément essentiel à la pérennité de toute entreprise aujourd'hui. Les moyens nécessaires en temps et en budget peuvent paraître inacceptables, mais ils sont indispensables pour affronter sereinement les aléas qui ne manqueront pas d'arriver. Plus qu'un coût, il faut voir cela comme une assurance vie pour son entreprise et surtout comme un formidable moyen de changer ses pratiques, d'évoluer vers plus de professionnalisme et donc de mieux répondre aux attentes de son marché.