Publications

Planifiez la cybersécurité de votre entreprise

par mars 2019Non classifié(e)0 commentaires

Les pirates des temps modernes ont troqué l’or pour les données, ils n’écument plus les mers, mais surfent sur la toile à la recherche de failles. Vulnérables sur plusieurs fronts, les entreprises n’ont d’autres choix que d’investir dans une protection blindée contre les attaques sournoises des cybercriminels. Pour prendre la bonne décision, la première étape est de repérer les lacunes et de mesurer les risques de cybersécurité qui menacent vos systèmes.

Plusieurs fournisseurs de sécurité informatique tirent parti des craintes pour vendre des solutions dispendieuses. Alors, avant d’acheter le premier pare-feu ou antivirus venu parce que la panique s’empare de vous, que pouvez-vous faire?

  1. L’inventaire, votre meilleur allié

L’essentiel, en matière de cybersécurité, est de ne pas céder à la panique. Avant toute chose, dressez un portait clair de votre parc informatique actuel. Logiciels, serveurs, composants réseau, bases de données et flux de données : avoir une image précise de votre écosystème vous permettra de prendre des décisions éclairées.

Dans un premier temps, vous devrez catégoriser vos actifs en grands groupes. Il pourrait s’agir d’informations relatives aux données clients ou encore à la comptabilité. L’objectif est ici d’accorder un niveau d’importance à chaque palier : lesquels sont critiques et doivent donc être protégés à tout prix?

Vous devrez ensuite répertorier les processus d’affaires qui se rattachent aux catégories que vous aurez dégagées. Prenons le service de paie, par exemple. Les tâches qui y sont accomplies comprennent probablement la saisie de feuille de temps, le traitement de la paie, le dépôt des chèques, l’impression de rapports, etc. Chacune de ces actions est liée à une base de données, elle-même stockée sur un serveur.

Fort de cette information, vous pourrez facilement établir une corrélation entre votre parc informatique et vos processus d’affaires. Une vision globale des opérations de votre entreprise vous permettra d’identifier clairement vos risques et besoins en matière de protection.

Pour chaque groupe d’actifs informationnels, dressez une liste des risques potentiels. Si l’on reprend l’exemple du service de la paie, le cas de figure suivant servirait de guide. Pour être complété, le processus de traitement de la paie repose sur la disponibilité des données (feuilles de temps, informations salariales…). Le risque principal est donc que, lorsque la période de paie arrive à échéance, ces données ne soient pas accessibles ou que les ordinateurs nécessaires à l’exécution du traitement soient hors d’usage.

Puisque l’ensemble des processus et des actifs impliqués dans cette opération a été répertorié, il est facile de mettre en place des mesures répondant à ce problème : la redondance des serveurs ou l’enregistrement de copies supplémentaires des données, par exemple.

La solution choisie devra prendre en compte trois éléments :

  • la sévérité des risques;
  • les attentes de la haute direction;
  • la résilience de l’entreprise face aux attaques.

Afin de vous guider dans l’évaluation de vos besoins, nous vous proposons de débuter votre réflexion en répondant à ces questions.

  • Qu’est-ce qui vous préoccupe par rapport à votre parc informatique actuel?
  • Quelle est la nature de vos données (financières, personnelles…)?
  • Quel est le risque majeur qui vous guette dans la prestation de vos services?
  • Ce risque est-il de l’ordre de la divulgation, de la fraude, de la réputation?
  • Quel est l’enjeu principal vécu par vos clients en matière de protection de leurs données?
  1. La mise à jour des patchs de sécurité

Puisque vous avez désormais une vision claire de votre parc informatique, prenez le temps de vérifier si des patchs de sécurité ont été publiées pour les systèmes que vous utilisez. L’un des angles d’attaque privilégiés par les pirates est l’exploitation des moindres faiblesses.

Le fiasco WannaCry, en 2017, en est le parfait exemple. Des cybercriminels ont investi une faille connue dans Windows pour prendre en otage les données d’organisations qui n’avaient pas fait de mise à jour ou qui possédaient des versions obsolètes de Windows. Plusieurs grands joueurs s’y sont fait prendre. Renault a même dû suspendre sa production dans plusieurs usines et les répercussions économiques globales de cette attaque se chiffrent dans les centaines de millions de dollars!

En effectuant un balayage de vos serveurs et en installant les mises à jour, vous pourrez refermer les brèches qui rendent vos systèmes vulnérables. Abonnez-vous aux sites web de vos fournisseurs pour être rapidement informés des failles à corriger. Soyez toutefois attentifs, puisque le moindre changement peut avoir un impact sur la stabilité de votre environnement informatique.

  1. La gestion du changement

Une stratégie de correction des vulnérabilités devrait toujours aller de pair avec un processus de gestion du changement. Une telle mesure coordonne et arrime toutes modifications apportées à votre parc pour qu’elles n’entrent pas en conflit avec d’autres éléments. Vous éviterez ainsi que les mises à jour causent des interruptions.

La gestion du changement vous permettra d’aviser les usagers des opérations à venir. Ils pourront ainsi prioriser leurs tâches en fonction de celles-ci. Vous serez également en mesure d’effectuer un suivi et d’établir un historique des mises à jour, rendant ainsi l’identification des sources d’un problème plus facile.

  1. Le test d’intrusion

Lorsque vous aurez établi les bases de votre plan de protection, pensez à réaliser des tests d’intrusion. En simulant des attaques sur vos systèmes, ces tests identifieront les faiblesses qui devront être éliminées. L’objectif n’est pas ici de tout régler en un coup, mais de prendre connaissance de toutes les vulnérabilités pour mettre sur pied une stratégie.

Priorisez les risques qui vous exposent aux impacts les plus importants. Évaluez les solutions qui s’offrent à vous et sélectionnez la plus efficace en fonction de l’inventaire que vous avez réalisé. Encore une fois, pas de panique! Une attitude réactive peut vous mener à investir beaucoup plus d’argent que nécessaire.

  1. La gestion des accès

La dernière action à prendre, à l’interne, consiste à répertorier les codes d’accès dans votre écosystème. Vous repérerez ainsi les permissions superflues et diminuerez les risques liés à la divulgation ou à la fuite d’informations sensibles.

Assurez-vous que les mots de passe des systèmes critiques soient changés fréquemment et que leur niveau de sécurité soit optimal pour rendre le décryptage ardu. Mettez aussi en place une procédure rapide de désactivation des accès suite au départ d’un employé.

Toutes ces initiatives se rattachent finalement à un élément crucial : la connaissance de votre parc informatique. L’inventaire de vos actifs et processus est la pierre angulaire d’un protocole de sécurité efficace. Notre conseil : avant d’acheter un produit de protection, partez à la découverte de votre écosystème!

Et si cette aventure vous semble insurmontable, nous vous guiderons avec plaisir!

***

Suivez-nous sur LinkedIn

Notre page Facebook