actualite 80x60

ACTUALITÉS

Safety first : concevoir la sécurité informatique aujourd’hui

François GILBERT - 15/10/2019

Quelle culture pour la cybersécurité aujourd’hui ? Les systèmes d’information doivent être protégés d’une quantité de menaces variées. En entreprise, la sécurité du SI tient dans un ensemble de bonnes pratiques à la fois technologiques et organisationnelles. Un audit de sécurité réalisé par un expert proposera une base de départ pour construire une politique solide de sécurité informatique. Nous vous proposons ici une prise de recul sur cet enjeu très actuel pour l’entreprise.

De quand date l’importance de la cybersécurité pour le management ?

La prise de conscience la plus ancienne date de la mise en réseau généralisée des PC et des serveurs. Un peu avant même, puisque les premiers virus s’invitaient d’une machine à l’autre par échange de disquettes. La cybersécurité n’est donc pas un problème nouveau dans les systèmes d’information, ce sont simplement ses lourdes conséquences qui en font un sujet toujours plus grand.
 
Le vrai changement concernant la sécurité du SI, c’est l’évolution d’un paradigme du “fonctionnel d’abord” (si ça marche, c’est bon), à un paradigme de la “sécurité d’abord”  (euh, on est sûr que c’est robuste chef ?).  On se rappelle les déboires de grands éditeurs surpris par l’ampleur de leurs failles de sécurité, comme Microsoft avec Windows et Explorer, Adobe avec le plugin Flash, Oracle avec Java … Mais n’importe quelle construction logicielle ou matérielle est concernée : le bug (et la faille de sécurité) sont inhérentes à la technologie. Il s’agit d’en maîtriser les aléas par de bonnes pratiques et des outils adaptés.

safety-first-photo1.jpg

La sécurité est-elle un coût ou un investissement ? 

La cybersécurité est un facteur de rentabilité. Paradoxalement ce n’est pas intuitif, car la sécurité informatique n’est pas un critère de productivité à court terme, au contraire. On perd du temps donc de l’argent à penser “sécurité” avant “opérationnel”. C’est un premier point clé : la sécurité informatique est un effort et un choix volontaire, c’est une vision stratégique et durable, un investissement de temps et d’argent. Évaluez combien coûteraient un vol de données, un sabotage ou une intrusion dans vos réseaux, y compris par une personne ayant un accès physique à vos locaux. Dans vos choix de politique de sécurité pour vos systèmes d’information, pensez à évaluer comment la sécurité a été conçue. L’approche par la sécurité est une approche globale.

Deuxième point clé : la sécurité est une chaîne de confiance. Pour qu’elle soit assurée, chaque acteur doit la garantir au plus haut niveau souhaitable, d’un bout à l’autre de la chaîne jusqu’à vous-même inclus. Dans cette chaîne, la sécurité absolue n’existe pas. Vous devrez évaluer le meilleur compromis entre coûts, contraintes et niveau de sécurité informatique projeté. La carotte est belle : de la confiance en interne pour plus de confiance de la part de vos clients et un sentiment de sérénité quand ceux-ci sont amenés à vous confier eux-mêmes des données.  

La faille, c’est l’humain !

Tout ce qui est technologique est humain : en termes de cybersécurité il reste cette maxime universellement partagée “le maillon faible, c’est l’utilisateur”. Mais chacun d’entre nous est utilisateur et donc acteur de la sécurité  ! Une culture d’entreprise est la somme des cultures et usages individuels. Il y a un effort constant (et contraignant) pour que la “sécurité d’abord” soit ancrée dans les réflexes professionnels. D’où l’importance de cette culture dans le management.

Une bonne approche est de lisser le plus possible les contraintes en utilisant de bons produits et de bonnes méthodes. Ces méthodes vont au-delà du « mot de passe ». Par exemple, chacun connaît la double authentification, via un code envoyé sur mobile. Que l’on peut rapprocher du code temporaire généré par une application mobile (voir par exemple la solution “google authenticator”. Le code change toutes les minutes et ne peut être ni deviné ni réutilisé.) L’humain, c’est le collectif. La sensibilisation et les compétences transverses sont une question de formation. A2COM propose des programmes de formation pour donner à l’organisation la maîtrise du facteur humain dans le processus global. Chaque collaborateur doit avoir un comportement responsable vis à vis du SI. La technologie seule ne pourra pas tout, même si elle apporte elle-même ses solutions.

safety-first--photo2.jpg

Mais alors comment sécuriser votre système d’information ?

La sécurité informatique est dans la technologie elle-même bien sûr. Elle est partout, dès le “code source” et les algorithmes. Tout ce qui utilise le chiffrement est basé sur la mise en oeuvre de théories mathématiques très complexes. La robustesse de cette mise en oeuvre est capitale : le chiffrement WEP du premier wifi n’était pas très robuste et ne doit surtout plus être utilisé (remplacé par le WPA et d’autres normes). Considéré comme extrêmement fiable par la théorie, c’est parfois l'ingénierie de la mise en oeuvre qui pose problème. Le bug “heart bleed” concernait l’une des méthodes les plus réputées et utilisées de chiffrement. Le bug a été corrigé après un temps de latence plutôt angoissant pour le monde de la sécurité informatique d’entreprise.

Le chiffrement reste une technique de sécurité incontournable et heureusement totalement digne de confiance. Soyez rassuré par la préconisation d’utiliser un VPN (réseau privé chiffré), des certificats SSL approuvés (la navigation web sécurisée), des fichiers cryptés… et des méthodes concrètes pour changer et gérer vos mots de passe aléatoires. Si vous nous rendez visite chez A2COM, vous constaterez tout un ensemble de mesures destinées à la traçabilité des entrées et sorties de personnes, et de filtres d’accès selon les zones sensibles de notre Datacenter Rennais.  

La sécurité IT chez A2COM

Une approche bien connue de la “sécurité d’abord” chez A2COM : nous sommes accrédités pour l’hébergement des données de santé grâce à l’obtention de la certification ISO 27001. Un excellent exemple d’une démarche de sécurité préventive. Les données de santé des établissements de santé sont sensibles : un cahier des charges strict encadre cette accréditation qui est imposée aux organismes souhaitant externaliser en cloud leur système d’information, tout en réalisant des économies.

Nous proposons une expertise globale en sécurité informatique à nos clients. Le PRA, PRI, sauvegarde, antivirus et antispam... Les meilleurs combinaisons nous sont connues et nous savons comment les rendre quasi transparentes dans le fonctionnement de votre SI.

Toute cette chaîne de sécurité et de confiance est donc une affaire de technologies, d’expertise et de bon sens. Chaque acteur en garantit la robustesse, alors ne soyez pas le dernier maillon faible de cette chaîne : nos clients le savent bien, le “safety first” est une expertise forte d’A2COM et un socle inamovible à toutes nos offres de services. La sécurité informatique est présente dans toutes nos phases de conseils et dans nos différents services de cybersécurité. 

Ces articles peuvent également vous intéresser
NE RÂTEZ PLUS UNE ACTU !

" Inscrivez vous à notre newsletter et restés connectés à l'actualité de la formation professionnelle "

feedback