Guide ssi
Upcoming SlideShare
Loading in...5
×
 

Guide ssi

on

  • 2,384 views

 

Statistics

Views

Total Views
2,384
Views on SlideShare
2,384
Embed Views
0

Actions

Likes
1
Downloads
197
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Guide ssi Guide ssi Document Transcript

  • Sécurité des Systèmes d’Information Guide pratique à l’usage des dirigeants DRIRE Rhône-Alpes –1–
  • –2–
  • SommairePREAMBULE : La Sécurité des Système d’Information ne se résume pas à protéger son informatique 4LES FICHES1- Evaluer l’importance de ses informations pour mieux les protéger 62- Quels outils pour une protection minimum du SI ? 113- Sécuriser son SI lors des déplacements professionnels 164- Gérer le courrier électronique indésirable 185- Comment sauvegarder vos données numériques ? 226- Les droits et obligations du chef d’entreprise en matière de SSI 267- Externaliser une partie de son activité sans danger 298- Gérer et contrôler les accès aux données de l’entreprise 329- Prendre en compte et maîtriser le facteur humain dans la SSI 3610- L’usage des réseaux sociaux dans l’entrepriseI 39ContACtS 43 –3–
  • La Sécurité des Système d’Information nese résume pas à protéger son informatiqueUn dégât des eaux, pas de sauvegarde à l’abri et c’est votre entreprise qui est en péril. Vos procédés de fabricationpiratés, c’est votre bénéfice qui s’envole.Que vous utilisiez un peu ou beaucoup l’informatique, votre entreprise en est forcément dépendante.Et si la survie de votre entreprise tenait à la sécurité de votre système d’Information (SI) ?Pourquoi protéger son SI ?Usage d’outils nomades (téléphone, PDA, clés USB), accès distants aux données internes de l’entreprise,connexion sans fil à Internet … : ces nouveaux usages facilitent la dématérialisation et la circulation del’information mais génèrent de nouveaux risques.Selon une étude réalisée par l’Espace Numérique Entreprises auprès de 350 PME du Rhône, plus d’un tiersdes entreprises reconnaissent avoir perdu des données dans l’année. Quelles qu’en soient les causes, cespertes engendrent des coûts directs (remplacement des équipements, chômage technique des salariés)et indirects (perte d’image) ainsi que des conséquences parfois irréversibles pour l’entreprise.Sécuriser son système d’information ne se résume pas qu’à prendre de nouvelles mesures techniques, c’estaussi protéger l’information stratégique de l’entreprise (plans, fichiers client, etc.). Le vol ou l’altération deces données capitales aura certainement des des conséquences parfois irréversibles pour l’entreprise. Suivez le guide Qu’est ce qu’un système d’information ? A la base de tout fonctionnement d’entreprise, il y a des informations utilisées par une ou plusieurs personnes. Pour traiter, stocker et transmettre ces informations, les collaborateurs utilisent des outils (informatiques ou pas) et agissent selon des procédures d’utilisation (envoyer un email, créer ou ar- chiver un document …). Cet ensemble organisé de moyens techniques, administratifs, et humains permettant de gérer l’infor- mation dans l’entreprise s’appelle un système d’information (SI). –4–
  • Par ailleurs, la sécurité des systèmes d’information représente également un avantage concurrentiel car elle offre la garantie aux clients et partenaires que les informations confidentielles, confiées à votre entreprise (cahiers des charges, plans), sont protégées. Pourquoi ce guide ? Ce guide est le fruit d’une démarche entreprise par les services de l’Etat pour sensibiliser les dirigeants à la sécurité des systèmes d’information. Il se compose de 10 fiches pratiques traitant de manière synthétique des règles élémentaires de SSI.Qu’est ce que la sécurité des systèmes d’information ?L’informatique n’étant finalement qu’un moyen de faciliter la gestion de l’information, il serait doncréducteur de considérer que protéger ses outils, c’est protéger l’information de l’entreprise. La sécuritédes systèmes d’information (SSI) prend en compte tous les éléments qui composent le SI : les utilisa-teurs, les procédures et les outils.Protéger son SI, c’est donc aussi sensibiliser les utilisateurs à la sécurité ou revoir certaines procédurescomportant des risques pour le patrimoine informationnel de l’entreprise. –5–
  • Evaluer l’importance de ses informations pour mieux les protéger Ce n’était qu’un fichier parmi tant d’autres maismises à disposition d’un concurrent, les données sontdevenues des informations stratégiques. Voici les points clés à retenir : Â Réaliser un état des lieux afin d’avoir une visionTous les éléments d’un système d’information d’ensemble de son système d’information etn’ont pas besoin d’être sécurisés de la même ma- élaborer une classification des données.nière.Protéger l’ensemble de son système d’informa- Â Formaliser et faire connaître les règles géné-tion à un même niveau de sécurité se révèlerait rales de sécurité à tous les acteurs du systèmed’ailleurs extrêmement coûteux. Certaines infor- d’information.mations stratégiques nécessitent une protectionimportante mais elles ne représentent pas la ma- Â Etre sélectif : il est impossible de protéger toutejorité des données d’une entreprise. l’information à un fort niveau de sécurité.C’est pourquoi la Sécurité d’un Système d’Informa-tion (SSI) implique une réflexion au préalable surla valeur de l’information avant de mettre en placedes outils de protection. Le but est de trouver lemeilleur compromis entre les moyens que l’on estprêt à consacrer pour se protéger et la volonté de Sommaireparer les menaces identifiées. 1 - Comment identifier ce qui doit êtreCette fiche pratique vous explique comment hié- protégé ?rarchiser les données à protéger en fonction de 2 - Hiérarchiser la valeur des informationsleur importance stratégique et comment mettre 3 - Evaluer les risquesen place une politique de sécurité adéquate. 4 - Bâtir une politique de sécurité adéquateAvertissement : cette fiche est le fruit d’un travail 5 - Pour aller plus loinde vulgarisation et comporte par conséquent uneinformation générale et non exhaustive. Elle nesaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. –6–
  • 1 - Comment identifier ce qui doit Attribuez ensuite des droits d’accès aux docu- ments à l’aide de profils utilisateurs selon leur de-être protégé ? gré de responsabilité dans l’entreprise. Il est préfé- rable de désigner une personne responsable pourLa première étape est de réaliser un état des lieux ce type d’activité.afin d’avoir une vision d’ensemble de son systèmed’information. Pour vous aider dans la démarche de classificationIl n’est pas toujours facile pour un dirigeant de me- de vos données, vous pouvez vous inspirer libre-surer l’étendue de l’information détenue par son ment du tableau ci-dessous.entreprise car elle n’est généralement pas stockéedans un lieu unique. En voici la légende :Dans un premier temps, commencez par recenser : 1 Information sensible : information susceptible  les ressources internes de votre entreprise : de causer des préjudices à l’entreprise si elle est ré- messagerie électronique (emails, contacts, vélée à des personnes mal intentionnées pouvant agenda), données stratégiques, fichier clients, entraîner la perte d’un avantage compétitif ou une données techniques… dégradation du niveau de sécurité.  les ressources de l’entreprise exploitées ou dé- 2 Information stratégique : information essentielle tenues par un prestataire extérieur ou un tiers. et critique contenant la valeur ajoutée de l’entre-  les ressources appartenant à un prestataire ex- prise (savoir-faire, procédures, méthodes de fabri- térieur exploitées par lui au profit de votre en- cation…). treprise.2 - Hiérarchiser la valeur des Voici quelques exemples donnés à titre indicatifinformations permettant de remplir le tableau :  La divulgation d’une proposition commercialePour définir le degré de valeur ajoutée de chaque type peut permettre à un concurrent de remporterde données, hiérarchisez la valeur des informations selon un appel d’offre en proposant un meilleur prix.l’importance de leur disponibilité et de leur intégrité. (information sensible) Tableau de classification des informations de l’entreprise selon leur degré d’importance Information Information sensible1 Information Accès autorisé pour divulgable (moyenne valeur stratégique2 les personnes (faible valeur ajoutée) ajoutée) (forte valeur ajoutée) Contacts et dossiers du personnel Factures clients Factures fournisseurs Listes fournisseurs Données comptables Relevés de compte Propositions commerciales Contrats commerciaux Contrats de travail Données de production Grille tarifaire des produits Procédés de fabrication Veille concurrentielle Autre –7–
  •  La diffusion d’un catalogue de produits ac- 3.1. Quelles sont les menaces ? compagnée des prix permet à des prospects de faire appel aux services de l’entreprise. (in- Une menace est une action susceptible de nuire et formation ouverte) de causer des dommages à un système d’informa- tion ou à une entreprise.En général, dans les entreprises : Elle peut être d’origine humaine (maladresse, at-  5% de l’information est stratégique : toute in- taque) ou technique (panne) et être interne ou ex- formation permettant de mettre à nu la valeur terne à l’entreprise. ajoutée de l’entreprise ou divulguant ses avan- tages compétitifs. Le CLUSIF (Club de la Sécurité de l’Information  15 % de l’information est sensible : ensemble Français) a établi une grille des menaces types et des données qui, associées et mises en cohé- de leurs conséquences dans un document intitulé rence, peuvent révéler une partie de l’informa- Plan de continuité d’activité – Stratégie et solu- tion stratégique. tions de secours du SI et publié en 20031.  80% de l’information est divulgable (ouverte) : ensemble des données diffusables à l’exté- rieur de l’entreprise sans pour autant lui être 3.2. Quelle est la probabilité préjudiciable. qu’une menace se materialise ? Pour chaque menace, il convient ensuite d’estimer la probabilité qu’elle se concrétise. 5% Information Voici, à titre indicatif, un état des causes de perte stratégique de données les plus fréquentes chez les entrepri- 15% ses du Rhône : Information sensible 85% Information divulgable (ouverte) Source : Observatoire des usages TIC – La sécurité informatique Remarque : dans les PME rhodaniennes. Espace Numérique Entreprises, 2008. Il est courant de dire qu’en matière de SSI, 80% de l’effort en matière de sécurité (budget, res- sources) doit être consacré à sécuriser les 20 % de données qui contiennent 80% de l’informa- 3.3. Quels impacts pour l’entreprise ? tion stratégique de l’entreprise. L’analyse d’impact consiste à mesurer les consé- quences d’un risque qui se matérialise. A titre d’exemple, l’Afnor a établi un système de3 - Evaluer les risques classification des risques liés aux informations (Ta- bleau ci-après).La phase d’évaluation des risques internes et ex-ternes permet d’identifier les différentes failles,d’estimer leur probabilité et d’étudier leur impacten estimant le coût des dommages qu’elles cau-seraient. 1 Ce dossier est téléchargeable sur le site www.clusif.fr –8–
  • Tableau de classification des risqueselon le degré d’importance des informations (Afnor) 3 : secret 2 : confidentiel 1 : diffusion contrôléePréjudice potentiel Préjudice grave Préjudice faible Perturbation Préjudice faible Perturbation Séquelles compromettant l’action ponctuelles ponctuelles à court et moyen termeRisques tolérés Aucun risque même résiduel n’est Des risques très limités peuvent Des risques sont pris en connais- acceptable être pris sance de causeProtection Recherche d’une protection Prise en compte de la notion de La fréquence et le coût du pré- maximale probabilité d’occurrence judice potentiel déterminent les mesures prisesVous pouvez également vous aider de méthodes  Stratégique : définition des objectifs globauxd’analyse de risques approfondies et reconnues de sécurité, définition qui découle du travailen France telles que : d’état des lieux, de hiérarchisation des don-  EBIOS (Expression des Besoins et Identification nées selon leur importance stratégique et des Objectifs de Sécurité). Elaborée par la DCSSI d’analyse des risques. (Direction Centrale de la Sécurité des Systèmes d’Information) (renvoi vers le site web ?), cette  Organisationnel : plan de secours , charte uti- méthode s’appuie sur une étude du contexte et lisateur, définition du rôle de chaque membre sur l’expression des besoins de sécurité en vue du personnel, sessions de sensibilisation des d’identifier les objectifs de sécurité. collaborateurs à la SSI.  MEHARI (Méthode Harmonisée d’Analyse de  Technique : mise en place des moyens de pro- Risques). Elaborée par le CLUSIF (Club de la tection (antivirus, mot de passe…). Sécurité de l’Information Français), cette mé- thode d’audit permet d’élaborer des scénarios 4.2. Sécuriser son SI de risques. Il s’agit de mettre en place des mesures préventi-4 - Bâtir une politique de sécurité ves et curatives.adéquate Certaines reposent sur des outils et d’autres sur le comportement des utilisateurs.4.1. Les grands principes Mais avant de mettre en place ces mesures, l’entre- prise doit d’abord statuer sur 2 questions :La SSI repose sur trois finalités :  Quelle est la quantité maximale d’informa-  L’intégrité du SI : s’assurer de son bon fonction- tions qui peut être perdue sans compromettre nement, de l’exactitude des données et de leur l’activité de l’entreprise ? intégrité.  La confidentialité SI : s’assurer que seules les  Quel est le délai maximum de reprise d’activité personnes autorisées ont accès aux données. acceptable sans menacer le fonctionnement de la société ?  La disponibilité du SI : s’assurer que les dif- férentes ressources (ordinateurs, réseaux, pé- La réponse à ces questions va permettre d’évaluer riphériques, applications) sont accessibles au le niveau de sécurité que l’entreprise devra mettre moment voulu par les personnes autorisées. en place et de déterminer les informations qui de- vront être protégées et rétablies en priorité en casEn fonction de ces objectifs, la politique de sécuri- de sinistre pour générer un minimum de pertes, yté de l’entreprise va se décliner de trois manières : compris financières. –9–
  • ‹ Les mesures préventives Les plus importantes sont :Elles permettent d’éviter une interruption de l’activité.  ISO 27000 (série de normes dédiées à la sécu- rité de l’information)Voici les principaux points de vigilance :  ISO 17799 (code de bonnes pratiques)  Plan de sauvegarde : il s’agit de déterminer la  ISO TR 13335 (guide d’administration de la sé- fréquence et le type de sauvegarde (complè- curité des systèmes d’information « Sécurité te, différentielle, incrémentale) pour chaque informatique : manager et assurer ») catégorie d’information (basique, sensible, http://www.afnor.fr stratégique). ‹ CLUSIF : (Club de la Sécurité de l’Information  Sécurité logique : il convient de mettre en Français) place des outils de protection de base (anti-vi- Le Club de la Sécurité de l’Information Français rus, firewall, anti-spam) et de les mettre à jour. (CLUSIF) est une association œuvrant pour la sécu- A cela peuvent s’ajouter des contrôles d’accès rité de l’information dans les organisations. aux données par mot de passe ou certificat Il publie régulièrement des documents techniques électronique. et méthodologiques sur le sujet. http://www.clusif.asso.fr  Sécurité physique : il s’agit de la sécurité des locaux. Une attention particulière doit être ‹ ANSSI : Agence Nationale de la Sécurité des portée à la sécurité du serveur de l’entreprise. Systèmes d’Information  Le facteur humain : la sécurité des systèmes L’ANSSI représente l’autorité nationale en matière d’information n’est pas qu’une affaire d’outils de sécurité des systèmes d’information. A ce titre, mais dépend aussi et surtout d’une informa- elle est chargée de proposer les règles à appliquer tion régulière aux utilisateurs de l’informati- pour la protection des systèmes d’information que dans l’entreprise. Des règles élémentaires de l’État et de vérifier l’application des mesures (comme ne pas noter son mot de passe sur un adoptées. papier) doivent être ainsi rappelées. Dans le domaine de la défense informatique, elle as- sure un service de veille, de détection, d’alerte et de‹ Mesures curatives réaction aux attaques informatiques, notammentCes mesures sont nécessaires car aucune mesure sur les réseaux de l’État. L’agence va créer un centrepréventive n’est efficace à 100%. Elles sont mises de détection précoce des attaques informatiques.en œuvre lorsqu’un sinistre survient : http://www.ssi.gouv.fr  Restauration des dernières sauvegardes  Redémarrage des applications  Redémarrage des machines (ordinateurs…) ‹ Portail de la sécurité informatique (SGDN) Ce portail propose des fiches pratiques et des5. Pour aller plus loin conseils destinés à tous les publics (particuliers, professionnels, PME). Il comporte également des‹ AFNOR : (Association française de normali- actualités et avertit de menaces nouvellementsation) rencontrées qui appellent une action rapide desLa sécurité des Systèmes d’Information et son mana- utilisateurs pour en limiter les effets.gement s’appuient sur des normes de la sécurité. http://www.securite-informatique.gouv.fr – 10 –
  • Quels outils utiliser pour une protection minimum du SI ? Des pirates informatiques entraient régulière-ment dans notre système d’information via Internetsans que nous nous en apercevions. Jusqu’au jour où Voici les points clés à retenir :certaines de nos informations stratégiques se sontretrouvées chez notre principal concurrent.  Choisir des produits de sécurité adaptés à vos besoins.  Utiliser plusieurs dispositifs de sécurité infor-Une entreprise est exposée quotidiennement aux matique complémentaires.risques d’attaques informatiques. Il est donc pri-mordial de mettre en œuvre de façon préventive  Effectuer régulièrement des mises à jour desdes moyens de protection minimaux adaptés. anti-virus et appliquer les correctifs de sécuritéEn matière de sécurité logique2, une PME a besoin et les mises à jour des systèmes d’exploitation.principalement d’outils permettant de préserverdes données importantes et de pouvoir échanger  Ne pas oublier qu’aucun dispositif de sécuritéou faire circuler des informations sensibles. informatique n’est fiable à 100 %.Cette fiche pratique vous informera sur les anti-virus, les pare-feux ainsi que l’usage du certificatnumérique. Sommaire 1- Les outils de protection de base2 Sécurité logique : sécurité des données. 2 - Sécuriser les échanges de donnéesAvertissement : cette fiche est le fruit d’un travail 3 - Pour aller plus loinde vulgarisation et comporte par conséquent uneinformation générale et non exhaustive. Elle nesaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 11 –
  • 1. Les outils de protection de  La quarantaine peut malheureusement isoler des fichiers essentiels au fonctionnement dubase système et altérer ce dernier.Il est impératif qu’au sein de votre entreprise, cha-que poste de travail et/ou le serveur soit protégé 1.2. Le pare-feupar un antivirus et un pare-feu (firewall) mis à jour. ‹ Qu’est-ce que c’est ? Un pare-feu ou firewall (en anglais) désigne un1.1. L’antivirus dispositif capable de bloquer les virus et d’éviter la fuite d’informations vers l’extérieur. Lorsque des‹ Qu’est-ce que c’est ? données sont transmises entre ordinateurs via In-Il s’agit d’un logiciel permettant de protéger son ternet, les informations entrent et sortent par desposte informatique ou son système contre les in- portes virtuelles appelées « ports ». Chaque ordi-fections informatiques (virus, vers3 ou spyware4). nateur dispose de 65 536 ports.Ce logiciel surveille et analyse régulièrement l’en-semble des fichiers puis filtre les contenus suspects. Ces « entrées » sont autant de possibilités de péné-Une fois l’anomalie détectée, il vous en informe et trer dans le système d’information de l’entreprise.la détruit. Si bien qu’en l’absence de pare-feu, des pirates in- formatiques ont tout loisir d’infecter ou de détruireLa plupart des logiciels antivirus intègrent égale- les données d’un ordinateur (virus, vers) ou de ré-ment une protection antispam qui permet d’analy- cupérer des informations via un cheval de Troie5.ser l’ensemble des messages entrants avant qu’ilsne soient délivrés au destinataire. ‹ Comment fonctionne t-il ? Un pare-feu joue un rôle de douanier vis-à-vis des‹ Comment fonctionne t-il ? ports. Il contrôle les flux de données entrant et sor-L’antivirus fonctionne à partir d’une base d’emprein- tant de l’ordinateur ou du réseau de l’entreprise.tes de virus connus ou d’un système d’intelligence Il est très fréquent qu’un logiciel professionnelartificielle détectant les anomalies. C’est pourquoi, ait besoin d’accéder à un serveur extérieur à l’en-pour une efficacité optimale, il est indispensable de treprise pour effectuer des mises à jour. Il lui fautle mettre à jour régulièrement (aussi bien la base alors communiquer par un canal spécifique (portd’empreintes que l’application elle-même). de communication), à la fois pour émettre des données (port sortant) mais aussi pour en recevoirDeux fonctionnements sont envisageables pour (port entrant). Les règles de filtrages doivent doncl’antivirus : autoriser ces ports de communication pour per-  La réparation des anomalies du ou des fichiers mettre au logiciel de télécharger la mise à jour. infectés. Dans ce cas, les données du fichier sont récupérées et le virus détruit. Il existe deux catégories de pare-feu :  Le pare-feu personnel est un logiciel installé  La mise en quarantaine du fichier infecté pour l’iso- sur les postes informatiques permettant de ler de l’environnement informatique et en limiter protéger uniquement le système sur lequel il sa propagation et ses effets. L’utilisateur peut accé- est installé. Windows, par exemple, en compor- der aux fichiers mis en quarantaine via l’interface te un par défaut. graphique de l’antivirus d’où il peut les supprimer ou les restaurer à leurs emplacements d’origine.  Le pare-feu réseau se présente sous forme de boîtier placé entre un accès externe et un réseau3 Vers : virus se propageant de manière autonome dans l’ordinateur d’entreprise.et de nouvelles machines.4 Spyware : petit programme informatique conçu dans le but de 5 Parfois appelés trojans, ces programmes malicieux créent unecollecter des données personnelles sur ses utilisateurs et de les brèche dans le système d’information de l’entreprise afin de per-envoyer à son concepteur ou à un tiers via Internet ou tout autre mettre une prise en main à distance d’un ordinateur par un pirateréseau informatique. informatique. – 12 –
  • Principe de fonctionnement d’un pare-feu réseau Réseau privé sécurisé Réseau public Pare-feu Internet ServeurLe mode de fonctionnement reste similaire pour  Le titulaire du certificat (nom, prénom, service, fonc-les deux types de pare-feux. tion) et son entreprise (dénomination, n° Siren). Remarque : 2.2. Comment s’en procurer ? Le certificat électronique est délivré pour une durée Attention, le pare-feu reste néanmoins insuffi- déterminée par une Autorité de Certification qui sant puisqu’il ne protège pas contre les virus pro- joue le rôle de Tiers de confiance. Cet organisme venant de périphériques amovibles (clé USB). garantit l’identité de la personne et l’usage des clés par une personne qui en est la seule propriétaire. De plus, elle atteste de l’exactitude des informa-Certaines offres logicielles proposent des solu- tions contenues dans le certificat.tions complètes (antivirus, antispam et pare-feu) La liste des autorités de certification référencées paret parfaitement intégrées à l’environnement infor- l’Etat est disponible sur le site du ministère de l’Eco-matique des entreprises. nomie, de l’Industrie et de l’Emploi. Aller dans « re- cherche » et taper « Certificats référencés PRIS v1 »2. Sécuriser les échanges de 2.3. Comment ça marche ?données Lorsque les données transitent, elles sont cryptées. Le certificat électronique fonctionne selon un prin-Dès lors que vous souhaitez sécuriser l’envoi d’in- cipe de clé : l’émetteur et le récepteur des donnéesformations ou l’accès à distance aux données de disposent chacun d’une clé publique6, servant aul’entreprise, il est recommandé de crypter les in- chiffrement du message, et d’une clé privée7, ser-formations lors de leur transit. Pour ce faire, on uti- vant à déchiffrer le message.lise couramment un certificat électronique. Le certificat numérique consiste à déterminer si une clé publique appartient réellement à son dé-2.1. Qu’est ce que c’est ? tenteur supposé. Il peut être stocké sur un supportLe certificat électronique est une carte d’identité nu- logiciel ou matériel (une carte à puce à insérermérique permettant de garantir l’intégrité des informa- dans un lecteur de carte ou une clé USB).tions et documents transmis et de s’assurer de l’identité Le support matériel reste le plus sûr car le certificatde l’émetteur et du récepteur de ces données. et la clé privée ne sont pas stockés sur un disqueIl contient des informations sur : dur d’un ordinateur mais sur un support que vous  L’autorité de certification qui a émis le certificat pouvez conserver en lieu sûr.  Le certificat électronique (validité, longueur des 6 La clé publique est publiée dans des annuaires publics. clefs,…) 7 La clé privée est connue uniquement par son propriétaire. – 13 –
  • Ceci présente de nombreux avantages: Les données qui transitent sont chiffrées grâce à  Il est impossible de réaliser une copie de la une technique de « tunnel » et donc inaccessibles carte ou de la clé USB. aux autres internautes. Ce cryptage est rendu pos-  Ce support est plus économique car il est ac- sible grâce à un certificat électronique8. cepté par toutes les téléprocédures des autori- Celui-ci fonctionne comme un passeport. Il doit être tés administratives. présent à la fois du côté de l’ordinateur distant qui  Il facilite la mobilité car utilisable depuis plu- tente d’accéder aux fichiers de l’entreprise et du sieurs postes de travail. côté du serveur.2.4. Ses usages Chaque certificat dispose d’une clef publique et d’une clef privée. Lorsque l’ordinateur distant tenteLe certificat électronique est de plus en plus uti- d’accéder aux fichiers, il envoie sa clef publique aulisé, notamment dans le cadre des téléprocédures serveur. Si celui-ci reconnaît le certificat de l’ordina-administratives (TéléTVA, télécarte grise…). teur distant, il envoie également sa clef publique.Voici deux autres types d’usages en entreprise : La connexion VPN est alors établie (le tunnel est créé), les données qui transitent entre les deux parties sont‹ La signature électronique chiffrées et déchiffrées grâce aux certificats.Elle possède la même valeur juridique et la mêmefonction qu’une signature manuscrite. Une dif- 3. Pour aller plus loinférence notable les distingue cependant : alorsqu’une signature manuscrite peut être facilement ‹ Guide de vulgarisation « Les virus informati-imitée, une signature numérique est pratiquement ques démystifiés »infalsifiable. La loi accorde d’ailleurs un statut Il explique les virus, les dommages qu’ils peuventparticulier à la signature électronique (cf articles causer et les méthodes pour les éviter.1316-1 à 1316-4 du code civil). http://www.sophos.fr/sophos/docs/fra/comviru/La clé privée permet de signer et la clé publique viru_bfr.pdfde vérifier cette signature. La signature électroni-que n’est pas visuelle mais est représentée par une ‹ Dématériel.comsuite de nombres. http://www.demateriel.comPlusieurs logiciels (suite bureautique) supportentdes outils de signature électronique. ‹ Comment ça marche : Rubrique Dossiers /Sé- curité/Cryptographie‹ Le VPNUn VPN (Virtual Private Network) permet d’accéder à la http://www.commentcamarche.nettotalité des fichiers d’une entreprise en toute sécurité.Il donne accès au réseau local d’une entreprise à 8 Il est possible d’utiliser un VPN sans certificat électronique mais ce n’est pas recommandé pour des raisons de sécuritédistance via une connexion Internet sécurisée. Accès au serveur de fichiers à distance grâce à un VPN VPN VPN Routeur équipé de la fonction VPN Serveur de INTERNET l’entreprise VPN Serveur VPN Ordinateur distant et son certificat Serveur de fichiers Routeur Serveur de l’entreprise – 14 –
  • Sécuriser son SI lors des déplacements professionnels Sur un salon, un de nos collaborateurs n’a paspris garde qu’on lui dérobait sa clé USB pendant qu’ildiscutait avec un client. Or celle-ci contenait la liste Voici les points clés à retenir :de ses prospects.  Eviter de divulguer oralement ou par écrit des infor- mations stratégiques dans les lieux publics (hôtels, salons, congrès, …) et les transports en commun.  Rester discret sur les projets de l’entreprise en-Travailler en dehors de l’entreprise est aujourd’hui vers les prospects, les clients, les fournisseurs etfacilité par une pléiade d’outils et d’applications. plus généralement dès que l’on se trouve en de-Désormais, il est possible se connecter à Inter- hors de l’entreprise.net presque partout sans fil, de transporter dans  Ne pas se déplacer à l’extérieur de l’entreprisesa poche des centaines de documents ou encore avec des documents confidentiels. Au besoin, uti-d’envoyer un contrat via un téléphone. liser une clé USB ou des accès VPN (Virtual PrivateCes « outils de la mobilité » engendrent toutefois Network) sécurisés.de nouveaux risques pour le système d’informa-  Garder toujours en sa possession les périphériques detion de l’entreprise, les plus courants restant le vol stockage amovible (disques durs externes, clés USB).et la perte d’un matériel contenant des données  Ne jamais laisser sans surveillance du matérielimportantes (clé USB, smartphone, ordinateur (ordinateur portable, téléphone portable, agen-portable). Des règles de sécurité s’imposent donc da, carte de visite client et fournisseur) ou despour utiliser ces outils sans danger. documents professionnels.Cette fiche pratique fournit des conseils pratiquessur les règles de vigilances pour utiliser les outilsde la mobilité au cours de déplacements profes- Sommairesionnels. 1 - Une attitude vigilante 2 - Protection des accès aux donnéesAvertissement : cette fiche est le fruit d’un travail 3 - Utiliser les réseaux sans fil avec prudencede vulgarisation et comporte par conséquent une 4 - Pour aller plus loininformation générale et non exhaustive. Elle nesaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 15 –
  • 1. Une attitude vigilante  Crypter les données du disque dur des ordina- teurs portables.Pendant vos déplacements, il convient de restervigilant et d’observer quelques principes :  Privilégier l’utilisation de supports amovibles  Etre attentif aux personnes qui vous entourent cryptés et facilement transportables (comme et à leurs actions. une clé USB) pour emporter l’ensemble des do- cuments confidentiels. Se méfier des comportements trop amicaux. Rester en permanence en pleine possession de Remarque : ses capacités d’attention (l’alcool est à proscri- re). Vous risquez sinon de dévoiler des informa- Dans certains pays (USA, Israël, Chine…), des tions sensibles malgré vous. informations confidentielles peuvent être de- mandées et les disques durs contrôlés par le Se méfier d’une question trop ciblée : les ré- service de sécurité dans le cadre de la politique ponses mises en commun peuvent dévoiler de défense des services de l’Etat. C’est pourquoi des informations stratégiques. un cryptage des données n’est pas superflu. Savoir répondre habilement aux questions de manière à ne pas fournir d’informations straté- 3. Utiliser les réseaux sans fil avec giques sur votre entreprise. prudence Sur un salon professionnel, ne jamais être seul sur un stand. 3.1. Pour se connecter à Internet Ne jamais laisser d’informations confidentielles De plus en plus de lieux publics sont dans le coffre-fort d’une chambre d’hôtel, une équipés de Wifi via des hotspots. Cette soute à bagages ou encore les vestiaires d’un technologie permet de se connecter à restaurant. Internet facilement mais présente des risques de vols de données. Travailler sur des documents non confidentiels pendant vos déplacements. Voici quelques conseils pour utiliser le Wifi serei- nement : Ne pas discuter au téléphone d’informations stratégiques.  Utiliser des réseaux Wifi équipés de clés de cryptage (WPA).2. Protection des accès aux  Désactiver par défaut les fonctions de liaisondonnées sans fil Wifi si vous n’en avez pas l’utilité.  S’assurer que les procédures de sécurité inté-Si, malgré votre vigilance, votre matériel est volé ou grées sont activées (méthode d’authentifica-perdu, veillez à verrouillez l’accès à vos données. tion et de chiffrement) et permettent l’identifi-Plusieurs possibilités s’offrent à vous : cation des équipements par un certificat.  Mettre en place un dispositif d’authentification de l’utilisateur lors de la mise en marche des  Mettre à jour les logiciels des équipements ordinateurs portables (mot de passe ou sys- Wifi. Ils peuvent être téléchargés sur le site du tème de reconnaissance biométrique comme constructeur de votre périphérique (ordinateur l’empreinte digitale). portable, PDA, …) avant tout déplacement. – 16 –
  • D’une manière générale, privilégiez l’utilisation Restez vigilant quand vous emportez des docu-d’une clé 3G+ sécurisée (Internet par le réseau de ments professionnels accessibles depuis votretéléphonie portable) pour accéder à Internet. téléphone portable car il est beaucoup plus facile- ment perdu ou volé. De plus, il existe des systèmes d’interception des3.2. Pour échanger des documents appels via des logiciels disponibles sur Internet qui permettent de mettre sur écoute une communica- La technologie Bluetooth est un tion téléphonique à distance. système de communication ra-dio de faible portée (10 à 15 mètres) qui permetles échanges de voix et de données entre équipe- 4. Pour aller plus loinments numériques. Pratique et facile d’utilisation,il est très facile de s’y connecter. ‹ Les guides des Conseillers du Commerce Exté- rieur :C’est pourquoi il mérite une configuration adé- Veiller futé à l’international, 2ème tome - Le savoir-quate : faire des CCE - Mai 2009  Ne pas laisser actif le Bluetooth en permanen- http://www.cnccef.org ce sur vos appareils. ‹ Guide des bonnes pratiques en matière d’in- Limiter les échanges de données en refusant telligence économique les fichiers de personnes inconnues. Préfecture de la région Franche-Comté et Préfec- ture du Doubs. Ne pas installer de programmes provenant du réseau Bluetooth (ceux-ci peuvent être un vi- http://franche-comte.cci.fr/crci/biblio/doc/Gui- rus ou un programme malveillant). debonnes pratiques IE.pdf Paramétrer l’accessibilité du Bluetooth en ‹ Guide bonnes pratiques en matière d’Intelli- mode non détectable (seules les personnes à gence Economique qui vous avez transmis l’identifiant de votre ap- Chambre Régionale de Commerce et d’Industrie pareil pourront communiquer avec vous). de Lorraine. http://www.lorraine.cci.fr/download/pdf/guide_ Appliquer les dernières mises à jour de sécurité. ie.pdf3.3. Pour téléphoner ‹ Guide de sensibilisation à la sécurisation du système d’information et du patrimoine infor-Le faible niveau de sécurité des téléphones GSM mationnel de l’entrepriseet des PDA ainsi que leur totale traçabilité doivent MEDEFêtre pris en compte par les utilisateurs. http://www.cyber.ccip.fr/pdf/medefsecusi.pdf – 17 –
  • Gérer le courrier électronique indésirable Chaque jour, les collaborateurs perdent dutemps à faire le tri entre les messages électroniquessollicités et les spams. Les gains de productivité de Voici les points clés à retenir :la communication par email s’amoindrissent de plusen plus.  Utiliser un anti-spam  Se méfier des adresses électroniques d’expéditeursLe courrier électronique est aujourd’hui largement inconnus et ne pas ouvrir les courriers électroni-utilisé dans les entreprises. Le nombre croissant ques douteux (sujet du message sans intérêt).d’emails publicitaires ou malveillants rend néan-  Ne pas diffuser son adresse électronique àmoins sa gestion problématique. n’importe qui ou sur un site internet où elleCes courriers électroniques non sollicités portent peut être récupérée très facilement.le nom de spams ou pourriels. Ils représententprès de 50% du trafic quotidien d’emails.  Paramétrer la messagerie électronique pour désactiver l’ouverture automatique des piècesCette fiche vous aidera à mieux gérer et sécuriser jointes et des images.votre messagerie électronique.  Sensibiliser le personnel aux risques : virus, phishing…  Ne jamais répondre à un spam. Sommaire 1 – Le spam, qu’est ce que c’est ? 2 – Les impacts du spamAvertissement : cette fiche est le fruit d’un travail 3 – Comment se protéger contre le spam ?de vulgarisation et comporte par conséquent uneinformation générale et non exhaustive. Elle ne 4 – Pour aller plus loinsaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 18 –
  • 1. Le spam, qu’est-ce que c’est ?  Ne pas cliquer sur les liens contenus dans les courriers électroniques : les liens affichés peuvent en réalité vous diriger vers des sites frauduleux.1.1. Origine du mot  Utiliser les filtres du navigateur Internet contre le phishing. La plupart des navigateurs propo-A l’origine, « SPAM » est la marque déposée d’une sent une fonction d’alerte contre le spam, fonc-conserve de jambon épicée « SPiced hAM », tion régulièrement mise à jour.consommée en très grande quantité par les amé-ricains lors de la seconde guerre mondiale et re-devenue populaire grâce aux Monthy Pythons en 2. Les impacts du spam1970.  La saturation du réseau ou des serveurs deEn 1994, un internaute excédé utilise ce terme messagerie de l’entreprise.pour la 1ère fois sur Internet pour dénoncer la pre-mière pratique de SPAM de l’histoire.  Des risques de blocage de l’adresse IP de l’en- treprise par les fournisseurs d’accès Internet si l’adresse de l’entreprise est usurpée par un1.2. Principe spammeur.Le spam consiste à envoyer massivement desemails non sollicités à des fins marchandes (vente  Le gaspillage de la bande passante et de l’es-de médicaments par exemple) ou malveillantes pace de stockage des utilisateurs.(récupération d’adresse emails valides, propaga-tion de virus). Ce type de courrier électronique  La dégradation de l’image de l’entreprise sin’est généralement pas ciblé mais envoyé à une l’adresse de l’entreprise est usurpée par unmultitude de destinataires par l’intermédiaire de spammeur.serveurs automatisés.  La perte de productivité des employés qui risquent de surcroit de passer à coté d’emails1.3. Exemple de spam très répandu : importants.le phishing‹ Qu’est-ce-que c’est ?Le phishing ou hammeçonnage est l’association 3. Comment se protéger contred’un e-mail non sollicité (spam) avec un lien vers le spam?un site internet illégal reproduisant l’allure visuel-le d’un site commercial et incitant l’internaute à yinscrire des informations personnelles. 3.1. Eviter d’être spamméCe type de spam, très construit et ciblé, est utilisé  Ne jamais répondre à un message dont l’objetpar des personnes malveillantes dans le but d’ob- ou l’expéditeur est douteux.tenir notamment des informations bancaires etd’effectuer des paiements frauduleux.  Ne pas diffuser son adresse sur le web (dans des forums ou des sites par exemple).‹ Comment se protéger du phishing ? Ne jamais envoyer par mail des informations  Créer une ou plusieurs « adresses poubelles » confidentielles (mot de passe, numéro de carte servant uniquement à vous inscrire ou vous de crédit…) identifier sur les sites jugés dignes de confiance. Être vigilant lorsqu’un e-mail demande des ac-  Sur son site Internet, crypter les adresses de la tions urgentes. page contact. – 19 –
  •  Paramétrer la messagerie électronique pour Dans ce dernier cas, les messages sont redirigés désactiver l’ouverture automatique des pièces vers une société qui filtre les messages entrants jointes et des images. Dans la mesure du pos- avant de les transmettre au serveur de messa- sible, désactiver la fonction de prévisualisation gerie de l’entreprise. systématique des images contenues dans les courriers électroniques.  Au-delà de 500 postes informatiques, l’entrepri- se a intérêt à investir dans un boîtier anti-spam. Ne pas ouvrir les pièces jointes de messages Cet outil analyse et filtre les messages avant douteux. qu’ils n’arrivent au serveur de messagerie. Ne jamais ouvrir une pièce jointe avec l’exten- ‹ Les méthodes de filtres anti-spam sion .exe ou .src, car ce sont des fichiers exécu- Ces logiciels utilisent une ou plusieurs des métho- tables pouvant infecter l’ordinateur. des de filtrage suivantes.  Le filtrage par mot clé permet d’effectuer un3.2. Mettre en place un anti spam blocage des emails contenant certains mots répertoriés dans un dictionnaire de détection.‹ Les logiciels Toutefois, il est très facile pour le spammeur deIl existe différents types de logiciels anti-spam. contourner cette technique.Vous pouvez en choisir un seul ou en cumulerplusieurs. Pour les entreprises possédant moins  Le filtrage par analyse lexicale (bayésien)de 500 postes informatiques, 3 types d’outils sont consiste à rechercher des mots clés associés à unconseillés : système de pondération. Difficile à contourner,  Les outils clients : il s’agit de logiciels installés il tient compte de l’ensemble du message, est sur chaque poste informatique. multilingue et utilise l’intelligence artificielle. Les outils serveurs : les messages reçus sont  Le filtrage heuristique consiste à analyser le filtrés dès leur arrivée dans le serveur de mes- contenu des messages en vérifiant la présence sagerie avant d’être remis au destinataire. de forme et de code (HTML dans le corps du message, mots écrits uniquement avec des let- Les solutions hébergées : dans ce cas, l’ana- tres majuscules ; mots clés correspondants à des lyse anti-spam intervient avant que le message produits souvent vantés au travers du Spam, très n’arrive dans le serveur de messagerie. Le fil- grand nombre de destinataires…). Cette techni- trage peut être réalisé par le fournisseur d’ac- que vérifie beaucoup de règles mais elle néces- cès ou par une analyse anti-spam externalisée. site une maintenance importante. Principe de fonctionnement d’un logiciel anti-spam hébergé Stockage temporaire Email de spam Logiciel/serveur anti-spam Utilisateur – 20 –
  •  Le filtrage d’image permet d’analyser les ima- Afin d’assurer une protection minimale, un outil ges contenues dans les messages. anti-spam réellement fonctionnel et performant doit utiliser au moins deux méthodes de filtrage.  Le filtrage par signature électronique génère Le test de Turing et le filtrage par analyse lexicale une signature pour chaque email ou pièce join- restent les deux solutions anti-spam les plus évo- te reçue puis les compare à des messages de luées actuellement. spam qui ont une signature connue. La signa- ture électronique permet de certifier que vous êtes bien l’expéditeur du message et qu’il n’a 4. Pour aller plus loin pas subi de modification. ‹ Cases Luxembourg : Portail de la sécurité de  Le filtrage d’URL permet de vérifier des liens l’information hypertextes contenus dans les messages géné- Ce site a pour objectif de développer un réseau ralement répertoriés sur des listes noires9. Pour opérant dans le domaine de la prévention et de contourner ce filtrage, le spammeur peut choisir la protection des systèmes d’information et de la de dissimuler le lien hypertexte. communication. Il veille à la promotion des outils de protection informatique.  Le filtrage par détection humaine, appelé Plusieurs fiches pratiques traitent des différents test de Turing, consiste à vérifier si l’émetteur types de spams qui existent. du courrier électronique est un humain ou un http://www.cases.public.lu robot. Pour ce faire, on va demander à l’expé- diteur du courrier de faire une action qu’un ‹ Signal Spam robot ne sait pas faire : par exemple, recopier Ce site regroupe la plupart des organisations fran- les lettres d’une image (exemple ci-dessous). çaises concernées par la lutte contre le spam, qu’il Si le courrier n’est pas accepté, il est n’est pas s’agisse des pouvoirs publics ou des professionnels envoyé au destinataire. de l’Internet. Il a pour objet de fédérer les efforts de tous pour lutter contre le fléau du spam. Exemple de CAPTCHA10 : recopier le mot http://www.signal-spam.fr lu sur l’image ‹ Internet-signalement Portail officiel de signalement des contenus illici- tes de l’Internet. https://www.internet-signalement.gouv.fr9 Les listes noires (ou blacklist) sont des listes où figurent un ensem-ble d’adresses de serveurs identifiés comme « mauvais expéditeurs »et dont on refuse de recevoir les messages.10 CAPTCHA : Système de contrôle d’accès aux sites Internet. – 21 –
  • Comment sauvegarder vos données numériques ? Un incendie s’est déclaré pendant la nuit dansle local où était stocké notre serveur. Malheureuse-ment, c’était aussi dans cette pièce que nous entre- Voici les points clés à retenir :posions les supports de sauvegarde.  Définir une fréquence de sauvegarde adaptée à l’importance des données.  Stocker les supports de sauvegarde dans un lieu sécurisé (armoire ignifugée étanche, coffreLa sauvegarde informatique est en quelque sorte fort, site externe).l’assurance vie du capital informationnel de l’en-  Installer les serveurs dans un local fermé à clé.treprise. Elle permet de restaurer des données  Vérifier régulièrement le bon fonctionnementperdues ou altérées et participe ainsi à garantir la des dispositifs et procédures de sauvegarde.continuité de l’activité.  Transporter régulièrement des copies de sau-C’est pourquoi la sauvegarde des données nu- vegarde en dehors de l’entreprise.mériques nécessite une gestion méthodique etcontrôlée. Si possible :  Aménager un site de secours pour les applica-Cette fiche pratique vous aidera à : tions vitales.  Elaborer un plan de sauvegarde adapté à votre  Dupliquer les sauvegardes et répartir les infor- entreprise. mations sensibles sur plusieurs supports.  Adopter les bons réflexes pour conserver vos données numériques. Sommaire 1 - Etablir un état des lieux des données à sauvegarder 2 - Choisir le type de sauvegarde 3 - Choisir la fréquence des sauvegardesAvertissement : cette fiche est le fruit d’un travail 4 - Choisir le support de sauvegardede vulgarisation et comporte par conséquent une 5 - Tester l’intégrité des donnéesinformation générale et non exhaustive. Elle ne 6 - Pour aller plus loinsaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 22 –
  • 1. Etablir un état des lieux des 2.3. Sauvegarde différentielledonnées à sauvegarder Elle permet de sauvegarder toutes les informations modifiées ou ajoutées depuis la dernière sauvegardeIl s’agit, dans un premier temps, de faire l’inven- complète.taire des données de l’entreprise : fichiers, base dedonnées, emails, etc. Puis, les informations straté- Avantages Inconvénientsgiques devront être identifiées car une attention - Sauvegarde plus ra- - Prend plus de temps queparticulière devra leur être portée en matière de pide que la sauvegarde la sauvegarde incrémentale.fréquence et de support de sauvegarde. complète. - Plus coûteuse en espace de - Données moins volumi- stockage. neuses. - Pas de rémanence (neEnfin, il convient de distinguer les données héber- - Plus fiable que la sauve- restaure que le dernier étatgées par l’entreprise et celles hébergées par un garde incrémentale. d’un fichier).tiers. Dans le cas où le stockage des informationsest à la charge d’un prestataire informatique (ex :pages d’un site Internet), vérifiez les conditions 3. Choisir la fréquence desd’hébergement et de sauvegarde des données. sauvegardes La périodicité et la durée des sauvegardes dépen-2. Choisir le type de sauvegarde dent de plusieurs facteurs :  Le volume de données.  La vitesse d’évolution des données.2.1. Sauvegarde complète  La quantité d’information que l’on accepte de perdre.Elle permet de réaliser une copie conforme des  Eventuellement, la durée légale de conserva-données à sauvegarder sur un support de sauve- tion de l’information (ex : facture).garde séparé. C’est pourquoi, selon les entreprises, la stratégie Avantages Inconvénients de sauvegarde sera différente. Sauvegarde très sûre, plus Problème de lenteur et de précise et plus simple pour temps en cas d’importants Voici un exemple de stratégie de sauvegarde : restaurer les données sans volumes de données à erreur. sauvegarder. Fréquence de sauvegarde: • Une sauvegarde complète dans la nuit du ven- dredi au samedi pour ne pas gêner l’activité de2.2. Sauvegarde au fil de l’eau : l’entreprise.sauvegarde incrémentale • Une sauvegarde incrémentale les autres nuits. • Une sauvegarde système (serveurs et applica-Elle se limite uniquement aux informations modi- tions de production) une fois par mois.fiées ou ajoutées depuis la dernière sauvegarde. • Le support de sauvegarde journalière du lun- di au jeudi est doublé et utilisé par alternance toutes les deux semaines. Avantages Inconvénients - Sauvegarde plus per- Le temps d’analyse des Délai de conservation des sauvegardes : formante et plus rapide modifications. • Le support du vendredi est conservé 1 mois des dernières modifica- Le risque lors de la restau- comme sauvegarde hebdomadaire. tions qu’une sauvegarde ration des données11. • Le support du dernier vendredi du mois est complète. - Espace de stockage plus conservé 1 an comme sauvegarde mensuelle. faible. • Le support du dernier vendredi de l’année est conservé sans limitation de durée comme sau- Restauration de données : action de régénérer des données per-11 vegarde annuelle.dues ou altérées. – 23 –
  • Des sauvegardes spécifiques peuvent être réa- Par ailleurs, il est possible de configurer le serveurlisées en parallèle pour des données sensibles pour que l’espace dédié à la sauvegarde soit une co-comme les données financières de l’entreprise et pie exacte en temps réel du disque dur principal.conservées suivant les obligations légales (s’assu-rer que les applications ayant générées ces don- Remarque :nées soient également accessibles). Il est nécessaire de veiller à bien sécuriser le local dédié aux supports de sauvegarde. Dans4. Choisir le support de l’idéal, il est préférable de les stocker en dehorssauvegarde de l’entreprise.4.1. Sauvegarde en interne 4.2. Sauvegarde à distance‹ Sur des supports de petit volume de stocka- Elle consiste à sous-traiter la sauvegarde des don-ge (DVD, clé USB, disque dur externe) nées à un prestataire spécialisé dans l’héberge-Pour les opérations quotidiennes, utiliser le disque ment. Cette solution offre l’avantage de ne plusdur externe est simple, rapide et fiable. Si votre avoir à gérer le support physique des sauvegar-entreprise possède seulement quelques postes des ou la charge de travail associée, car ils sontinformatiques, vous pouvez programmer les sau- externalisés via un réseau haut débit.vegardes directement sur votre ordinateur. Toutefois, des risques associés à de mauvaisesCe type de sauvegarde est préconisé pour des quan- sauvegardes subsistent. Il est d’ailleurs nécessairetités d´information assez faibles. Le principe consiste de bien définir les données à sauvegarder, leur di-à sélectionner les fichiers à sauvegarder poste par mensionnement et s’assurer que les sauvegardesposte puis de procéder à leur sauvegarde. sont bien réalisées.‹ Sur des bandes magnétiques ou cartouches Par ailleurs, le choix d’une solution de sauvegardenumériques12 à distance doit être associé à une lecture attentiveCes supports sont utilisés pour la sauvegarde de des contrats de service. Il convient de s’assurerdonnées stockées sur un serveur. Ils s’utilisent qu’en cas de problème, la prestation soit efficace.avec une application dédiée qui programme, gère Il est d’ailleurs intéressant de procéder à un testet teste les enregistrements. préalable afin de voir concrètement les fonctionna- lités et performances de cette solution. Il est égale-Les coûts matériels sont relativement faibles. En re- ment recommandé de vérifier la santé financière devanche, les sauvegardes réalisées ne se faisant pas ce prestataire stratégique et la présence d’un cryp-toujours en temps réel, il y a un risque de perte de tage des données sauvegardées par ses soins.d’information. Par ailleurs, la restauration de donnéesnécessite également des compétences techniques. 5. Tester l’intégrité des données‹ Sur le serveur du réseau interne de l’entrepriseIl s’agit de réserver un espace dédié à la sauvegar- Afin de s’assurer du bon fonctionnement des sau-de sur le disque dur du serveur. vegardes, des tests réguliers d’intégrité et de res-Toutefois, préférez les modèles proposant une tauration des données doivent être réalisés pourversion amovible de ce disque dur de secours afin détecter d’éventuelles anomalies (erreur d’appli-d’éviter qu’en cas de sinistre, le serveur et sa sau- cation ou support saturé).vegarde ne soient détruits. Le test de restauration consiste à simuler un sinis- tre et à utiliser des sauvegardes pour que l’entre-12 Cartouche numérique : bandes magnétiques intégrées dans un boî- prise puisse reprendre son activité.tier plastique et moins volumineux que la bande magnétique. – 24 –
  • Une vérification partielle permet de tester uni- Il doit ainsi garantir la continuité de la disponibilitéquement les fichiers les plus importants alors des données et des activités de l’entreprise.qu’une vérification complète permet de tester Il consiste principalement à prioriser les ressourcesl’ensemble des fichiers. informationnelles à restaurer (messagerie, documents internes…). Le plan de sauvegarde doit être approuvé par la di-6. Pour aller plus loin rection et testé périodiquement (au moins une fois par an) afin de s’assurer de son bon fonctionnement.6.1. Le plan de sauvegarde 6.2. BibliographieLe plan de sauvegarde permet d’organiser la res- ‹ Les dossiers du numérique n°3 - La sécurisa-tauration des données en cas de sinistre. Ce do- tion du système d’information de l’entreprisecument formel est utilisé au cas où plus rien ne Rhône Alpes Numériquefonctionne. www.agencenumerique.com – 25 –
  • Les droits et obligations du chef d’entreprise en matière de SSI Nous avons envoyé un e-mailing pour faireconnaître notre nouveau produit à une liste decontacts fournie gracieusement par un partenaire. Voici les points clés à retenir :L’un des destinataires, mécontent de recevoir notrepublicité, nous a menacés de porter plainte.  Prévoir des moyens de traçabilité et de conser- vation des connexions au réseau.  Informer les salariés de leurs droits et obligationsAujourd’hui, tous les chefs d’entreprises sont soumis au moyen d’une charte informatique pertinente.à diverses réglementations. Ces obligations valent  Organiser une surveillance du réseau informa-également en matière de sécurité informatique. tique de l’entreprise en respectant les droitsIls doivent donc être en mesure de respecter et des salariés.de faire respecter certaines obligations légales au  Mettre l’entreprise en conformité avec la législa-sein de l’entreprise pour éviter que leur responsa- tion relative à la protection des données à carac-bilité civile et/ou pénale13 et celle de leur entre- tère personnel.prise ne soit engagée, y compris en cas de négli-  Vérifier périodiquement la validité des licencesgence de leur part. logicielles pour éviter toute contrefaçon.En contrepartie, ce cadre juridique permet aux en-treprises de se défendre en cas d’attaque sur leur Avertissement : cette fiche est le fruit d’un travailsystème d’information ou de négligence interne. de vulgarisation et comporte par conséquent une information générale et non exhaustive. Elle neCette fiche pratique vous présentera les principa- saurait engager la responsabilité de l’éditeur (Di-les dispositions juridiques à appliquer en matière reccte, ENE) et de ses diffuseurs.de sécurité informatique.La présente fiche a été établie avec la collaboration Sommairede Me Raphaël Peuchot, avocat au Barreau de Lyon. 1 – Les obligations légales13 La responsabilité civile : l’employeur est civilement responsablede fait de l’activité de ses employés, notamment en cas d’utilisation 2 – Les droitsmalveillante des moyens informatiques et de communication élec-tronique au préjudice des tiers. 3 – Pour aller plus loinLa responsabilité pénale : l’employeur peut être pénalement res-ponsable de son propre fait et l’entreprise du fait des agissementsdes employés dès lors qu’ils commettent des infractions suscepti-bles d’engager la responsabilité pénale des personnes morales. – 26 –
  • 1. Les obligations légales  Ne pas collecter des données sensibles (origi- nes raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenanceVoici les principales obligations qu’une PME doit syndicale, données relatives à la vie sexuelle ourespecter. à la santé).1.1. Le traitement des données à  Fixer une durée de conservation raisonnablecaractère personnel (ou maximale ?) de ces données personnelles.‹ De quoi s’agit-il ?  Protéger et sécuriser l’accès aux fichiers deLes données sont considérées à caractère person- données personnelles.nel dès lors qu’elles concernent des personnesphysiques identifiées directement ou indirecte- En cas de non respect de la loi et de ses obligations,ment. Une personne est identifiée lorsque, par l’entreprise est passible de 5 ans de prison et 300exemple, son nom apparaît dans un fichier et 000 € d’amende (Article 226-16 du Code pénal). Laidentifiable lorsqu’un fichier comporte des infor- divulgation d’informations par imprudence ou né-mations permettant indirectement son identifi- gligence peut être punie de 3 ans de prison et decation (ex. : n° d’immatriculation, adresse IP, n° de 100 000 € d’amende.téléphone, photographie...).En ce sens, toutes les informations dont le recou- ‹ Le responsable du traitement de données per-pement permet d’identifier une personne précise sonnelles(ex : une empreinte digitale, l’ADN, une date de Afin de se protéger de façon optimale en res-naissance associée à une commune de résidence pectant la loi, il est recommandé de désigner un…) constituent également des données à carac- correspondant Informatique et libertés au sein detère personnel. l’entreprise. Cette personne, régulièrement avisée des modifications règlementaires, tient un registreAussi, dès lors que vous diffusez une newsletter, exhaustif de l’ensemble des traitements en coursque vous collectez des informations sur les visi- dans l’entreprise.teurs de votre site Internet ou que votre fichier Ce « correspondant CNIL » est en outre chargé declient est informatisé, vous êtes concerné par la loi sensibiliser les salariés pour éviter que l’entreprise« Informatique et Libertés » du 6 janvier 1978. ne soit mise en cause civilement ou pénalement du fait d’un comportement inapproprié d’un de‹ Les obligations à respecter ses salariés. Recueillir le consentement de la personne pour utiliser une information qui l’identifie. 1.2. Le Secret des correspondances Permettre aux personnes concernées par ces in- formations d’exercer pleinement leurs droits (ac- Le courrier électronique est considéré comme de cès, rectification, suppression) en leur commu- la correspondance privée dont le contenu est, par niquant l’identité de votre entreprise, la finalité nature, accessible uniquement à son destinataire. du fichier, le caractère obligatoire ou facultatif Cependant, les messages électroniques envoyés ou des réponses, les destinataires des informations, reçus sur l’ordinateur de l’entreprise sont présumés l’existence de leurs droits et les transmissions en- être à caractère professionnel, sauf mention expli- visagées des données à un tiers. cite de leur caractère personnel. Sauf risque ou évènement particulier, les messages Ne pas réutiliser ces données de manière in- personnels ne peuvent être ouverts par l’employeur, compatible avec la finalité première du fichier si le salarié n’est pas présent ou dûment appelé. Par (ex : céder des adresses emails à un partenaire contre, l’employeur peut rechercher, même à l’insu sans demander leur avis aux propriétaires de du salarié et hors sa présence, les connexions à des ces adresses). sites internet étrangers à son travail. – 27 –
  • 1.3. Autres cas Elle permet ainsi de fournir des garanties et de déli- miter les responsabilités de chacun.La responsabilité de l’entreprise peut être enga-gée dans les cas suivants. La charte doit traiter des thématiques suivantes :  L’utilisation malveillante des moyens informa-  Les règles générales d’utilisation du système d’in- tiques et de communication électroniques. formation.  Le téléchargement et la réutilisation de docu-  Le rappel des principaux textes de loi. ments non libres de droits.  Les mesures de sécurité des accès aux applica-  La contrefaçon ou utilisation de copies illicites tions et les conseils de vigilance. de logiciels ou d’œuvres protégées sans autori-  Les règles d’utilisation de la messagerie, d’Internet, etc. sation des titulaires de droits.  Le traitement des infections informatiques (vi-  L’usurpation d’identité par un des salariés au rus…) et le comportement à adopter. préjudice de tiers.  Les moyens de contrôle mis en œuvre et les sanctions encourues en cas de non respect de la charte.2. Les droits Généralement rédigé par le responsable informati- que en collaboration avec la direction des ressour-2.1. Vis-à-vis des actes malveillants ces humaines, ce document doit être diffusé à l’en- semble du personnel dans un but pédagogique etSi votre entreprise est victime de vol ou d’altéra- de sensibilisation.tion de votre système d’information, il existe desrecours. Vous pouvez déposer une plainte pénale Voici un exemple de charte du CNRS:auprès du commissariat de police ou de la gendar- http://www.sg.cnrs.fr/FSD/securite-systemes/do-merie. Les faits y seront précisément exposés, en cumentations_pdf/securite_systemes/Charte.pdfincluant tout détail utile sur l’origine de l’attaqueet les dommages causés.C’est pourquoi il est primordial de ne pas effacer 3. Pour aller plus loinles traces d’une éventuelle infraction et de conser-ver les preuves susceptibles d’aider l’action en jus-tice : logs de connexion, copie de disque dur. ‹ Droit NTIC Ce site propose des informations juridiques et pra-Il est également recommandé de faire appel à un tiques sur les nouvelles technologies et Internet.huissier de justice spécialisé en fraude informati- http://www.droit-ntic.comque pour établir un procès-verbal de constat, puisde décider avec le conseil d’un avocat des actions ‹ CNIL : Commission Nationale de l’Informati-les plus appropriées. que et des LibertésVous pouvez aussi informer le CERTA (Centre d’Ex- Autorité indépendante, créée en 1978, dont la mis-pertise gouvernemental de Réponse et de Traite- sion est de veiller à ce que l’informatique soit aument des Attaques informatiques) ou la DCRI (Di- service du citoyen et qu’elle ne porte atteinte ni àrection Centrale du Renseignement Intérieur). la vie privée, ni aux libertés individuelles publiques ou aux droits de l’homme de manière générale.2.2. Vis-à-vis des salariés http://www.cnil.frEn complément du contrat de travail et du règle- ‹ Ysosecurement intérieur, il est fortement conseillé d’élaborer Ce site permet de comprendre l’intérêt des systèmesune charte de sécurité informatique afin d’organiser de management de la sécurité de l’information, desun bon usage du système d’information par tous. méthodes de gestion des risques ainsi que les bonnesCette charte fixe à l’ensemble du personnel un cadre gé- pratiques pour améliorer la sécurité de l’informationnéral et définit des règles pour l’usage des technologies de votre entreprise.de l’information et de la communication dans l’entreprise. http://www.ysosecure.com – 28 –
  • Externaliser une partie de son activité sans danger Nous avions sous-traité la gestion complètede notre site Internet à notre prestataire. Lorsquecelui-ci a déposé le bilan, nous n’avons rien pu ré- Voici les points clés à retenir :cupérer. Nous avons dû refinancer intégralement ledéveloppement d’un nouveau site.  Définir les objectifs de l’externalisation et iden- tifier les risques pour l’entreprise.L’externalisation consiste à confier tout ou partie  Inclure dans le contrat de prestation de ser-de la gestion d’une activité de l’entreprise à un vices des règles de sécurité à respecter par leprestataire externe spécialisé. prestataire.Pour des raisons de coûts ou d’absence de compé-tences internes, nombre de PMI-PME ont recours  Se renseigner régulièrement sur la santé finan-à cette pratique. L’externalisation peut s’appli- cière de son prestataire.quer à plusieurs domaines d’activités (ressourceshumaines, marketing, administratif, financier…).  Vérifier fréquemment la prise en compte de laLorsqu’une entreprise sous-traite la maintenance sécurité par son prestataire.de son infrastructure informatique, on parle d’in-fogérance. La présente fiche réalisée avec la collaboration de MeMais quelque soit l’activité sous-traitée, l’externalisa- Raphaël Peuchot, avocat au Barreau de Lyon.tion présente des risques pour le système d’informa-tion de l’entreprise car une partie n’est plus sous soncontrôle direct. Il est donc nécessaire de rester vigi-lant quand au choix d’un prestataire et aux termes Sommairedu contrat avec celui-ci. 1 - Avantages et inconvénients deCette fiche vous donne des conseils pratiques l’externalisationpour externaliser tout ou partie de votre activité 2 - Comment choisir le meilleur prestataire ?en sécurisant la relation avec votre prestataire. 3 - Le contrat d’externalisationAvertissement : cette fiche est le fruit d’un travail 4 - Les facteurs clé de succès d’un projetde vulgarisation et comporte par conséquent une d’externalisationinformation générale et non exhaustive. Elle ne 5 - Pour aller plus loinsaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 29 –
  • 1- Avantages et inconvénient de 2- Comment choisir le meilleurl’externalisation prestataire ?Afin de s’assurer de prendre la décision la plus ap- En matière d’externalisation, plusieurs critèrespropriée, il est important d’évaluer l’ensemble des sont à prendre en considération lors du choix d’unavantages et inconvénients de l’externalisation prestataire.d’une activité.  Ses références (il n’est d’ailleurs pas interdit de prendre contact avec un client actuel ou passé1.1. Avantages de l’externalisation du prestataire).  Sa santé financière. Se recentrer sur son cœur de métier et générer plus de valeur ajoutée.  Sa maîtrise du domaine (certification ISO par Bénéficier d’experts qualifiés et de compéten- exemple). ces spécifiques à certaines fonctions. Améliorer sa compétitivité.  L’adéquation de sa réponse au cahier des char- Etre plus flexible dans la gestion des ressour- ges eu égard aux exigences de votre entreprise ces humaines. en matière de sécurité. Réduire les coûts d’exploitation en mutualisant des moyens par l’intermédiaire du prestataire. En tant que client, vous pouvez par ailleurs deman- der à rencontrer les personnes qui auront accès1.2. Inconvénients à l’externalisation aux informations de votre entreprise dans le cadre de l’externalisation ou à visiter les locaux dans les- Dépendre du prestataire. quels seront hébergées vos données. Perdre le contrôle et une partie des compéten- ces de l’entreprise. Rencontrer des difficultés sociales en cas de dé- gradation des relations entre les partenaires. 3 - Le contrat d’externalisation Faire face à des rétentions d’informations de la La formalisation du contrat de prestation de servi- part du prestataire. ces est une étape indispensable dans un processus Avoir des difficultés à réintégrer l’activité exter- d’externalisation. Il doit inclure la description des nalisée. prestations, les rôles et responsabilités de chacun des partenaires, la durée, la reprise (des données ou du contrat ?), le renouvellement, la cession et le Remarque : transfert du contrat ou encore les coûts et les diffé- rentes clauses essentielles (obligation de livrables, Externalisation ≠ sous-traitance de collaboration, de performance…). On parle de sous-traitance lorsque le presta- taire assurant l’externalisation confie lui-même Un plan de réversibilité doit être prévu dans le l’exécution de tout ou partie de sa prestation contrat pour permettre de réintégrer l’activité à un ou plusieurs tiers sous-traitants. Elle im- sous-traitée en cas de détérioration des relations plique une chaîne de contrats et requiert une avec le prestataire. Ce chapitre du contrat doit vraie compétence du prestataire principal pour décrire notamment de quelle manière votre entre- coordonner ses sous-traitants. prise pourra récupérer ses données. Le recours à la sous-traitance peut s’inscrire Par ailleurs, il est fortement recommandé d’ajou- dans le cadre d’un contrat d’externalisation, ter en annexe un engagement de confidentialité mais chaque sous-traitant du prestataire doit et d’intégrité des données portant sur la transmis- être agréé par l’entreprise cliente. sion d’informations par votre entreprise. – 30 –
  • Voici le plan type d’un contrat de service : 4- Les facteurs clés de succès d’un 1. Documents contractuels (mentionner la liste projet d’externalisation de l’ensemble des documents compris dans le  Construction d’un partenariat et d’une rela- contrat). tion de confiance avec le prestataire. 2. Description précise des prestations.  Communication constante. 3. Régime de l’obligation du prestataire (obli-  Organisation de réunions de suivi au besoin. gation de moyens ou de résultat).  Mise à jour des procédures de travail des sa- 4. Prix des prestations (critère d’évolution des lariés en interne. prix).  Révision du contrat d’externalisation en cas 5. Etablissement du montant des pénalités (en de besoin. cas de retard ou de non-performance de la part  Synthèse annuelle des actions réalisées. du prestataire).  Respect de la confidentialité des informations. 6. Statut des matériels et des logiciels. 7. Etendue de la responsabilité. 8. Limitation du préjudice réparable. 9. Cession des droits (assurer la propriété des 5. Pour aller plus loin logiciels). 10. Juridiction compétente en cas de litige (dé- ‹ Externaliser.net signation géographique). Portail regroupant de l’information sur l’externali- sation et l’outsourcing.Source : Guide SSI du MEDEF - Fiche 10 : Externaliser la mise enœuvre et la maintenance des politiques de sécurité, 2005 www.externaliser.net – 31 –
  • Gérer et contrôler les accès aux données de l’entreprise Cet employé de bureau a pu copier l’ensembledu fichier client de l’entreprise pour le revendre à unconcurrent. Il fut licencié, mais cela n’empêcha pas le Voici les points clés à retenir :préjudice. Â Sécuriser physiquement les zones sensibles deAfin d’éviter les actes malveillants externes et votre entreprise (portes, fenêtres, clôture).d’éventuelles maladresses en interne, des contrô-les d’accès performants aux systèmes informa- Â Utiliser des mots de passe complexes.tiques sont essentiels pour assurer une sécuritéoptimale. Â Gérer l’arrivée et le départ de toute personneCes contrôles consistent à surveiller à la fois les ayant accès au système d’information de l’en-accès logiques et physiques14 aux ressources in- treprise.formatiques de l’entreprise. Il n’est pas nécessaireque tout utilisateur puisse disposer de l’ensembledes ressources disponibles. Des limites doiventdonc être définies en adéquation avec le poste dechaque collaborateur.Cette fiche pratique vous donnera les clés de lamise en place d’un contrôle des accès efficace tantau niveau physique qu’au niveau logique (systèmeinformatique). Sommaire 1 – Assurer la sécurité physique de votre14 L’accès physique désigne tout ce qui est physiquement accessiblecomme un bâtiment, une salle de réunion, un bureau... entreprise.L’accès logique désigne tout ce qui est virtuellement accessible com-me un site internet, un fichier ou une application informatique. 2 – Gérer les contrôles d’accès aux ressour- ces informationnelles.Avertissement : cette fiche est le fruit d’un travailde vulgarisation et comporte par conséquent une 3 – Gérer les mouvements de personnel.information générale et non exhaustive. Elle ne 4 – Pour aller plus loinsaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 32 –
  • 1. Assurer la sécurité physique Le système le plus répandu demeure le contrôle d’ac- cès par mot de passe mais d’autres types d’authen-de votre entreprise tification existent comme la lecture d’empreinte di- gitale (sur un ordinateur portable par exemple) ouAvant même de s’intéresser au système informati- l’utilisation d’un certificat électronique15.que, la première étape consiste à protéger les lo- L’accès à des données est d’autant plus sécurisé quecaux de votre entreprise. Pour éviter la circulation plusieurs systèmes d’authentification sont associés.de personnes non autorisées dans vos locaux, ilest important de disposer d’une part de bâtiments ‹ Le contrôle d’accès par mot de passesûrs (clôture du site, fenêtres solides, grillage…) et Il consiste à configurer les postes informatiquesd’autre part de systèmes de contrôle d’accès, no- des utilisateurs (verrouillage par mot de passe) ettamment : à installer un serveur d’authentification. Cette ma-  Un portillon avec lecteur de badge à l’entrée nipulation doit être effectuée par un spécialiste. permettant de filtrer les entrées et sorties et de tracer les accès aux locaux. Il s’agit ensuite d’attribuer à chaque utilisateur un compte comportant un identifiant fourni par le  Une procédure d’identification pour les per- responsable informatique et un mot de passe per- sonnes externes (clients, fournisseurs, presta- sonnel. Lors du processus d’authentification, l’utili- taires). Dans l’idéal, elle doit être instaurée en sateur saisit le couple identifiant / mot de passe et le tenant un registre précisant la nature et les serveur d’authentification vérifie s’il est identique à horaires des visites. Il est par ailleurs fortement celui enregistré dans sa base de données sécurisée. recommandé d’accompagner les visiteurs le temps de leur présence dans l’entreprise. ‹ Etablir un mot de passe sécurisé Les pirates informatiques disposent de logiciels très Un verrouillage systématique des zones sensi- performants capables de tester très rapidement bles. Elles doivent être équipées de serrures de une série de combinaisons de caractères. Un mot sûreté et accessibles uniquement aux person- de passe fiable est un mot de passe complexe. nels autorisés. Voici quelques recommandations pour établir unEnfin, pour un maximum de prévention, vous mot de passe sécurisé:pouvez installer un système d’alarme, de vidéo  Il doit être composé d’au moins 8 caractèressurveillance, de lecture d’empreintes digitales ou combinant chiffres, lettres, minuscules, majus-encore engager des agents de sécurité. cules et caractères spéciaux. Au besoin, des sys- tèmes permettent de contraindre l’utilisateur à intégrer ces règles.2. Gérer les contrôles d’accès auxressources informationnelles  Il doit être facile à retenir en utilisant des moyens mnémotechniques tels que la méthode des pre-Cette gestion implique deux types de contrôle : mières lettres (qui consiste à prendre la première lettre de chaque mot d’une expression) ou la Vérifier que seul le personnel de l’entreprise méthode phonétique (phrase codée phonétique- peut accéder aux ressources internes. ment : ght1CDà15€, j’ai acheté un CD à 15 euros). Vérifier que seuls les salariés autorisés accèdent En cas d’oubli du mot de passe, il est possible d’en aux informations sensibles de l’entreprise. simplifier la réinitialisation en désignant un inter- locuteur dédié et facilement joignable.2.1. L’authentification des utilisateurs  Il ne doit pas s’agir d’un mot présent dans le dic-Les contrôles d’accès passent par un protocole tionnaire.d’authentification qui garantit au système infor- 15 Pour en savoir plus sur le certificat électronique, se référer à la fi-matique l’identité de l’utilisateur. che 2 « Quels outils utiliser pour une protection minimum du SI ? » – 33 –
  •  Il faut le renouveler périodiquement (au moins Il n’est pourtant pas rare que ce dernier ait pris soin tous les ans et plus si il donne accès à des don- de copier des informations importantes avant son nées sensibles). Cela implique la mise en place départ. d’une procédure donnant une durée de vali- dité maximale au mot de passe. Idéalement, chaque entreprise devrait disposer d’une procédure d’entrée et de sortie pour gérer Le mot de passe ne doit pas être en lien avec en temps réel la création et la suppression des une information personnelle (date de naissan- comptes utilisateurs. L’administrateur système de- ce, nom…). vrait être informé immédiatement de l’arrivée ou du départ définitif d’un salarié. Il ne doit être écrit nulle part (Attention au post- it sur l’écran d’ordinateur ou sous le clavier). En l’absence de procédures, il convient de vérifier régulièrement que tous les comptes ouverts sont en-Il est nécessaire de sensibiliser l’ensemble du person- core d’actualité et de fermer ceux qui sont inutilisés.nel à ces usages. Des sanctions peuvent être appli-quées par l’entreprise en cas de non respect des règles 3.2. Gestion des comptes despar les utilisateurs. stagiaires2.2. La gestion des droits d’accès Le cas du stagiaire est souvent traité avec moinsdes utilisateurs d’attention que celui du salarié. A son arrivée, son compte est créé rapidement sans exclure lesIl s’agit de déterminer de quelles informations cha- informations auxquelles il ne doit pas accéder etque utilisateur doit disposer et ce qu’il peut en faire. lorsqu’il part, son compte n’est pas automatique-Pour simplifier la tâche d’administration des utili- ment supprimé.sateurs et de leurs droits d’accès, des profils peu-vent être créés sur le serveur d’authentification. Voici quelques recommandations :Un profil est un ensemble de règles d’accès auxressources informatiques qui sont attribuées à un ‹ Avant le stageensemble d’utilisateurs ayant un besoin d’accès  Examiner en détail le Curriculum Vitae et re-aux mêmes ressources ou un rôle et des respon- cueillir toute information utile sur le candidatsabilités similaires. (stage précédent chez un concurrent).Le profil de l’utilisateur lui donnera des droits dif-  Définir les missions de stage et faire signer uneférents selon les informations : lecture seule, mo- clause de confidentialité si nécessaire.dification ou suppression.  Refuser explicitement la diffusion sur Internet du futur rapport de stage.Par ailleurs, le fait d’utiliser un système central  Désigner un tuteur.d’authentification permet de tracer les actions desutilisateurs (heure de connexion, suivi des fichiers). ‹ Pendant le stage  Veiller au respect des horaires du stagiaire et des lieux auxquels il aura accès.3. Gérer les mouvements de  Déterminer un accès restreint aux ressourcespersonnel de l’entreprise et surveiller, en cas de doute, son activité sur le réseau informatique et son utilisation de la photocopieuse.3.1. Gestion des comptes du  Répondre aux questions du stagiaire unique-personnel ment si cela correspond à son domaine de compétences. Ainsi, un stagiaire en marketingOn se méfie plus facilement d’une personne exter- n’a pas à connaitre toutes la procédure de sau-ne que d’un collaborateur qui quitte l’entreprise. vegarde de l’entreprise. – 34 –
  •  Proscrire l’utilisation de son matériel personnel ‹ Cases Luxembourg : Portail de la sécurité de (clé USB, ordinateur portable). l’information Ce site a pour objectif de développer un réseau‹ Après le stage opérant dans le domaine de la prévention et de Vérifier de manière approfondie l’ensemble des la protection des systèmes d’information et de la travaux du stagiaire pour filtrer les données ju- communication. Il veille à la promotion des outils gées stratégiques. de protection informatique. Supprimer ses droits d’accès et récupérer son http://www.cases.public.lu badge et ses clés. ‹ Portail de la sécurité informatique (SGDN) http://www.securite-informatique.gouv.fr.4. Pour aller plus loin Rubrique « Autoformation » puis « Mot de passe ».‹ Guide des bonnes pratiques en matière d’in- ‹ Guide de sensibilisation à la sécurisation dutelligence économique système d’information et du patrimoine infor-MINEFE, Février 2009. mationnel de l’entreprise.http://www.entreprises.gouv.fr/document/Gui- MEDEFde_des_bonnes_pratiques_en_matiere_d_IE.pdf http://www.cyber.ccip.fr/pdf/medefsecusi.pdf – 35 –
  • Prendre en compte et maîtriser le facteur humain dans la SSI Pour plus de sécurité, nous avions choisi dechanger le mot de passe des utilisateurs tous les 6mois. Mais cela n’a pas duré longtemps car les col- Voici les points clés à retenir :laborateurs écrivaient leur code sur un papier qu’ilscachaient dans leur tiroir ou sous leur clavier.Finalement cette mesure a créé des risques supplé-  Intégrer la protection de l’information dans lamentaires au lieu de mieux protéger notre système communication globale de l’entreprise.d’information.  Sensibiliser, former, impliquer et responsabili- ser le personnel à tous les niveaux.  Communiquer sur la stratégie et les actions prévues en matière de sécurité, en insistantMême avec les meilleurs outils existants en ma- largement sur les bénéfices d’une telle démar-tière de sécurité informatique, le système d’infor- che afin d’éviter les potentielles résistances auxmation d’une entreprise peut devenir perméable changements.si l’entreprise ne maîtrise pas le facteur humain.  Assurer le responsable sécurité du soutien in-En effet, le personnel fait partie intégrante du SI. Il dispensable de la hiérarchie.en est même un maillon essentiel. Chaque salarié  Eviter que l’entreprise attende les problèmesayant accès à tout ou partie du patrimoine infor- pour agir, il est souvent déjà trop tard.mationnel, il est important qu’il ait conscience de  Mettre en place des solutions réalistes et adap-la sensibilité et de la vulnérabilité des informa- tées en fonction des risques encourus par l’en-tions et qu’il respecte quotidiennement les règles treprise.internes de sécurité.Cette fiche pratique vous explique comment sen-sibiliser le personnel à la sécurité informatique etpourquoi nommer un responsable dans ce do- Sommairemaine. 1 - Nommer un responsable « Sécurité duAvertissement : cette fiche est le fruit d’un travail système d’information »de vulgarisation et comporte par conséquent une 2 - Sensibiliser et former le personnel à lainformation générale et non exhaustive. Elle ne SSIsaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 36 –
  • 1. Nommer un responsable 2. Sensibiliser et former le« Sécurité du système d’information » personnel à la SSILe responsable SSI a pour mission de garantir l’in-tégrité, la confidentialité, la disponibilité et la tra- 2.1. Comment ?çabilité des données de l’ensemble des systèmesd’information de l’entreprise. Il définit les orien- Il s’agit de mener régulièrement des actions d’in-tations, élabore et met en œuvre une politique formation et de sensibilisation auprès du person-de sécurité. nel pour lui faire comprendre les enjeux de la SSI.Il est aussi celui sur qui repose la maîtrise du fac- Ces actions facilitent l’acceptation et l’applicationteur humain dans la sécurité du système d’infor- de règles qui peuvent parfois paraître contrai-mation. gnantes.Il n’existe pas de profil type. Le responsable SSI L’objectif est de transmettre un premier niveau dedoit réunir plusieurs compétences : connaissance et de diffuser les bonnes pratiques  Une bonne connaissance dans le domaine concernant la sécurité informatique. de la sécurité, sans pour autant connaître en détail le fonctionnement des technologies. Tout utilisateur doit : Il doit acquérir et mettre à jour un minimum  Avoir eu connaissance de la charte informati- de connaissances à la fois pour être crédible que et l’appliquer. vis-à-vis des techniciens en sécurité informa-  Connaître la démarche à suivre en cas de pro- tique et pour savoir apprécier les risques liés blème de sécurité informatique (personne à à l´utilisation du système d´information. contacter).  Etre en mesure de juger de la sensibilité d’une Une vision transversale de l’activité de l’entre- information. prise.  Connaître son périmètre d’accès à l’information. Des aptitudes en communication pour mener Les actions de sensibilisation peuvent se faire à des missions de sensibilisation. travers :  Des discussions informelles entre employés et Des aptitudes en organisation car il sera le chef responsables SSI. d’orchestre de la gestion d’éventuels sinistres.  Des notes d’information (emails courts et pra- tiques).Dans les PMI PME, cette fonction est très souvent  De l’affichage dans les zones sensibles (pho-assurée par le responsable informatique lui-même tocopieurs, bureau de recherche et dévelop-ou encore le responsable qualité. pement). – 37 –
  • Â Des réunions thématiques régulières. Par ailleurs, il convient de contrôler régulière-Â Des séances de formation. ment le respect par le personnel des règles et sa connaissance des dispositions pratiques inscrites2.2. Les facteurs clés de succès dans le règlement intérieur. Des mesures incitati- ves peuvent aussi être envisagées.Généralement,Les supports utilisés dans le cadre d’actions de les actions de sensibilisation se font en complé-sensibilisation à la SSI doivent être simples, lu- ment d’une démarche de diffusion de la chartediques et interactifs afin d’assurer l’efficacité des informatique interne16.messages et de susciter l’intérêt du plus grandnombre. Enfin, les règles seront d’autant plus prises au sé- rieux si les responsables les respectent eux-mêmesL’introduction de nouvelles pratiques peut gé- de manière exemplaire.nérer certaines résistances aux changements. Ilest alors conseillé d’axer le discours de sensibi-lisation sur les avantages qu’apporte la SSI pour 16 Pour en savoir plus sur la charte informatique, se référer à la fiche n°6 « Les droits et obligations du chef d’entreprise en matière degarantir l’activité de l’entreprise. SSI ». – 38 –
  • L’usage des réseaux sociaux dans l’entreprise Un de nos anciens stagiaires cherchait du tra-vail. Souhaitant se valoriser sur un réseau social, il adévoilé notre plan marketing sur lequel il avait tra- Voici les points clés à retenir :vaillé.  Etre vigilant et curieux : surveiller en perma- nence ce qui se dit sur vous et votre entrepriseLes réseaux sociaux (ou social networking) sont des sur Internet.sites communautaires d‘échange et de partage en-tre des individus. Ils permettent essentiellement de  Etre un membre impliqué et avoir une démar-mettre en relation des personnes partageant les mê- che active au sein du réseau social.mes centres d’intérêt personnels ou professionnels.Parmi les réseaux sociaux les plus connus à destina-  Former et sensibiliser le personnel à une utilisa-tion des professionnels, Viadeo (Europe) et Linke- tion sécurisée des réseaux sociaux.dIn (international) sont les plus connus. Facebooket MySpace sont plutôt des plateformes d’échanges Avertissement : cette fiche est le fruit d’un travailgrand public même si elles sont aussi utilisées par de vulgarisation et comporte par conséquent unedes professionnels pour y faire du marketing com- information générale et non exhaustive. Elle nemunautaire (community management). saurait engager la responsabilité de l’éditeur (Di- reccte, ENE) et de ses diffuseurs.Le principe de fonctionnement d’un réseau socialest simple. Il suffit de se créer un profil utilisateur etde suivre l’actualité des membres. Le contenu étant Sommaireintégralement produit par l’internaute, chacun estresponsable des informations qu’il publie. 1 - Les risques liés aux réseaux sociauxCe phénomène est encore mal compris pour la pour l’entreprise.majorité des entreprises et donc peu contrôlé.Or, les réseaux sociaux représentent un risque 2 - Comment bien utiliser les réseaux sociaux ?de fuite d’informations stratégiques et de perte 3 - Comment surveiller sa réputation surde réputation pour l’entreprise. Internet ? 4 - Pour aller plus loinCette fiche pratique vous informe sur les risquesliés à l’usage des réseaux sociaux par les salariés. – 39 –
  • 1. Les risques liés aux réseaux  Ne pas publier d’informations confidentielles ou de données jugées sensibles pour l’entreprise.sociaux pour l’entreprise  Demander aux salariés d’utiliser un mot deDe nombreux problèmes peuvent survenir en passe différent pour accéder au réseau social etcas d’utilisation non maitrisée des plateformes aux applications de l’entreprise.sociales.  Définir une ligne de conduite conforme auxEn voici quelques exemples : principes et à l’éthique de l’entreprise afin de sensibiliser les employés aux risques éventuels  L’usurpation par une personne malveillante liés à l’utilisation des réseaux sociaux. de l’identité d’un utilisateur de réseaux so- ciaux délivrant un nombre important d’infor-  Réagir rapidement en cas de découverte de mations dans son profil. Donner des informa- propos malveillants ou diffamatoires sur des tions personnelles peut notamment fournir plateformes sociales. Cela peut se faire aisé- une indication permettant de deviner un mot ment en contactant la direction ou l’hébergeur de passe. du site concerné.  La divulgation sur un réseau social par un sala- rié d’informations stratégiques. 3. Comment surveiller sa  Le dénigrement de l’entreprise par un salarié réputation sur Internet ? mécontent ce qui représente donc une perte de réputation pour la société. Pour parfaire ces mesures de sécurité, il est recom- mandé d’effectuer une veille régulière sur ce qui se  L’infection du système d’information par un vi- dit de votre entreprise sur Internet. rus via l’installation d’applications tierces17 sur un ordinateur de l’entreprise. Plusieurs outils peuvent vous aider :C’est pourquoi il est indispensable de maîtriser ‹ Google alertes : http://www.google.fr/alertsla diffusion de l’information et, de ce fait, de nejamais communiquer des données à caractère Cet outil gratuit de surveillance permet d’être aler-stratégique ou trop personnelles sur les réseaux té très simplement lors de la diffusion de certainessociaux. informations. Pour accéder au service, il suffit de s’inscrire avec son e-mail et de saisir les termes re- cherchés comme on le ferait sur Google.2. Comment bien utiliser les Par exemple, vous pouvez surveiller le nom deréseaux sociaux ? votre entreprise ou les commentaires faits sur vos produits. Vous pouvez ensuite choisir la fréquence  Lire attentivement la charte d’utilisation et de d’envoi des alertes. Toutefois, le système de filtrage confidentialité des réseaux sociaux avant toute n’est pas toujours très pertinent et génère parfois inscription. trop d’informations. Vous serez averti des alertes par email.  Utiliser les paramètres de confidentialité de manière à ne pas se faire indexer par les mo- ‹ Spyple : http://www.spyple.com teurs de recherche (option demandée à l’ins- cription sur le réseau social). Ce tout nouveau moteur de recherche 2.0 vous permet d’évaluer la présence d’une marque ou17 Exemples d’applications : Superwall, Topfriends sur le réseau Facebook. d’une personne sur certains réseaux sociaux. – 40 –
  • Enfin, pour rechercher des informations sur des ‹ L’impact des réseaux sociauxpersonnes par type de sources (blogs, réseaux Livre blanc de Jérôme Bondu et Alain Garnier – Févriersociaux…), vous pouvez utiliser les moteurs de 2009recherche 123 people, pipl ou encore addict-o-matic18. ‹ Place des réseaux Webmagazine des entrepreneurs en réseaux http://www.placedesreseaux.com4. Pour aller plus loin‹ Article « Quelle place pour les réseaux so-ciaux en entreprise ? »Indexel.net - Novembre 2008.http://www.indexel.net 18 http://www.123people.fr, http://pipl.com et http://addictomatic. – 41 –
  • Janvier 2010Toute reproduction doit faire figurer lasource.Reproduction interdite à des finscommerciales.Pour toute question, contactez l’ENE.
  • ContactsVous avez un projet autour de la sécurité des systèmes d’information ? Votre entre-prise est victime d’un sinistre ou d’une attaque informatique ?Quatre centres d’expertise TIC sont à votre service en Rhône-Alpes :  Ardèche Cybardèche 4 avenue de l’Europe Unie [tél.] 04 75 20 28 57 BP 114 [fax] 01 56 72 94 57 07001 PRIVAS CEDEX [mail] contact@cybardeche.fr  Rhône - Loire - Ain Espace Numérique Entreprises Villa Créatis [tél.] 04 37 64 46 10 2, rue des Mûriers - CP 601 [fax] 04 78 83 99 60 69258 LYON CEDEX 09 [mail] renseignements@ene.fr  Isère Espace Numérique Nord-Isère 5 rue Condorcet [tél.] 04 74 95 98 32 BP 108 [fax] 09 72 11 32 32 38093 VILLEFONTAINE CEDEX [mail] info@enni.fr  Drôme Pôle Numérique Le Rhovalparc - BP 15155 [tél.] 04 75 83 50 58 1 avenue de la Gare [fax] 04 75 82 96 31 26958 VALENCE CEDEX 9 [mail] entreprise@pole-numerique.fr – 43 –
  • Conception : Espace Numériue Entreprises - Photos : Fotolia Direction Régionale de l’Entreprise, de la Concurrence, de la Communication, du Travail et de l’EmploiEspace Numérique Entreprises DIRECCTE Rhône-Alpes Villa Créatis - 2, rue des Mûriers Tour Suisse - 1 Bd Vivier Merle CP 601 - 69258 LYON CEDEX 09 69443 Lyon Cedex 03 [tél.] 04 37 64 46 10 [tél.] 04 72 68 29 00 [fax] 04 78 83 99 60 [fax] 04 72 68 29 29