10 pistes pour la sécurité numérique de l’entreprise (2018)
Les attaques malveillantes sur les systèmes d’information des entreprises se font de plus en plus nombreuses et sophistiquées. Les conséquences d’une intrusion peuvent être désastreuses et même menacer l’existence de l’entreprise. Voici 10 pistes pour renforcer la sécurité informatique.
1. Mobiliser et former les utilisateurs.
Chaque utilisateur est potentiellement un maillon faible de la sécurité de l’entreprise s’il n’a pas été sensibilisé aux enjeux de la sécurité et instruit adéquatement des bonnes pratiques en la matière. Et la sécurité du système d’information global repose sur le niveau de sécurité du plus faible maillon. Chaque utilisateur doit savoir quelles sont les données jugées sensibles. Et chacun doit connaître la politique de sécurité de l’entreprise et les consignes qui y sont associées. Les règles de base peuvent être par exemple : ne pas utiliser dans le cadre professionnel un mot de passe déjà utilisé à titre personnel, ne pas connecter des équipements personnels au réseau de l’entreprise, verrouiller la session de son poste de travail lorsqu’on le quitte, connaître la procédure en cas de suspicion d’intrusion, etc. Il est possible de mener des mini-formations sur des questions spécifiques, par exemple une sensibilisation aux dangers de l’hameçonnage, des rançongiciels, aux risques associés aux clés USB, etc.
2. Sécuriser leurs postes de travail.
Il est nécessaire d’implémenter une politique d’entreprise concernant ce qu’il est autorisé d’installer sur son poste de travail. Ce peut être par exemple une liste limitative d’applications et d’extensions de navigateurs, toute installation d’application autre devant être soumise à une procédure d’approbation auprès du SI. Il est parfois préférable d’avoir son propre serveur hébergeant les applications autorisées, afin de s’assurer que celles-ci sont sécuritaires. En outre, les postes de travail doivent être à jour et disposer au minimum d’un antivirus, d’un antispam et d’un pare-feu local correctement paramétré. Les volumes ou partitions où sont stockées les données de l’utilisateur doivent être chiffrés, et régulièrement sauvegardés sur des systèmes non connectés. Le chiffrement est un impératif sur les ordinateurs portables, surtout ceux qui sortent des murs de l’entreprise, car les risques de perte ou de vol sont alors loin d’être négligeables.
3. Localiser les données sensibles.
Toute entreprise doit gérer des informations sensibles, c’est-à-dire celles dont la perte ou le vol pourrait être préjudiciable, voire catastrophique. Il est important de savoir où elles se trouvent, sur quelles composantes matérielles, afin de pouvoir établir des mesures de sécurité spécifiques. Les données résidant sur des systèmes extérieurs (nuage, IaaS, PaaS) doivent faire l’objet d’un traitement particulier, en raison de risques spécifiques, et d’une réflexion sur le bien-fondé de leur externalisation à la lumière de la sécurité. Bien identifier les données sensibles permet aussi de mieux contrôler les droits d’accès qui leur sont associés.
4. Assurer une gestion sans failles des comptes utilisateurs.
Il est important d’assurer une gestion fine et continue des comptes utilisateurs, de les supprimer sans délai quand un employé quitte l’entreprise et d’effectuer régulièrement une revue des comptes afin de contrôler l’adéquation entre les droits accordés et les tâches à assurer. Il convient de ne pas donner plus de droits qu’il est nécessaire ; tout le monde n’a pas à disposer des droits d’administration. Il faut aussi s’assurer du bon paramétrage des autorisations d’accès pour les données sensibles. D’autre part, à des fins de traçabilité, n’ayez aucun compte générique multi-utilisateur et préférez les comptes associés à un utilisateur unique.
5. Déterminer des consignes claires pour les mots de passe.
Les utilisateurs doivent avoir reçu des consignes précises sur les bonnes pratiques en matière de composition d’un mot de passe robuste. En outre, il doit être formellement interdit de noter des mots de passe sur des supports physiques (bloc-notes, tableau blanc, etc.) ou des supports numériques non chiffrés (“mots_de_passe.txt”, courriels, etc.). Si un utilisateur doit gérer plusieurs identifiants complexes, il faut l’équiper d’un gestionnaire de mots de passe (KeePass, EnPass, 1Password, etc.).
6. Renforcer la procédure d’authentification.
Pour renforcer la sécurité de comptes stratégiques, on peut envisager le recours à la vérification en deux étapes. Il s’agit de rendre l’authentification de l’utilisateur plus sûre en exigeant non seulement un mot de passe, mais aussi un autre élément, comme : une chose que l’utilisateur possède (clé de sécurité USB type FIDO U2F, carte à puce OpenPGP, puce RFID, jeton de sécurité, code à usage unique reçu par SMS…), une donnée biométrique (empreintes digitales, caractéristiques de la voix, de l’iris…) ou encore une position géographique (l’appareil qui se connecte doit être dans un certain périmètre géographique).
7. Limiter les appareils autorisés à se connecter au réseau d’entreprise.
Les appareils qui peuvent se connecter au réseau interne doivent être sous la maîtrise de l’entreprise. Les appareils des visiteurs comme les appareils personnels des employés peuvent représenter une vulnérabilité sur laquelle l’entreprise n’a pas le contrôle. Pour ces usages, il est recommandé de créer un réseau Wi-Fi spécifique, entièrement séparé du reste des infrastructures de l’entreprise, mais offrant néanmoins un bon niveau de sécurisation (WPA2, bientôt WPA3, AES CCMP, changement régulier du mot de passe). De la même façon, il est préconisé d’encadrer l’utilisation de clés USB d’origine extérieure sur les systèmes de l’entreprise.
8. Chiffrer tous les transits de données via internet.
Toute donnée non chiffrée circulant sur internet est vulnérable. Ça peut être les courriels, les échanges avec des plateformes infonuagiques, des SaaS, etc. Il est indispensable que toutes les communications de l’entreprise passent par des protocoles sécurisés (HTTPS, IMAPS, SMTPS, POP3S, SFTP, etc.). Notez bien cependant que les courriels circulent sur les réseaux de façon non chiffrée et qu’il faut toujours considérer que l’information envoyée peut être interceptée et lue par n’importe qui, à moins d’en chiffrer le contenu avec OpenPGP, PGP, GPG ou autre. Aussi, si des utilisateurs ont besoin de se connecter à distance aux systèmes de l’entreprise via internet (emplois nomades, télétravail), il faut leur imposer des communications via des tunnels sécurisés, tel un VPN.
9. Cloisonner le réseau.
Il convient d’isoler les machines qui offrent des services visibles à l’internet (typiquement un hébergement web) du reste du réseau de l’entreprise (création de zones dites démilitarisées). En outre, l’architecture du réseau peut prévoir un cloisonnement permettant d’empêcher la propagation interne d’une attaque à tous les postes de l’entreprise. On peut ainsi regrouper dans des zones tous les systèmes ayant des besoins de sécurité similaires et installer un filtrage du trafic entre les zones à l’aide d’un pare-feu.
10. Ne pas oublier la sécurité physique.
Par exemple, l’accès aux salles de serveurs doit être contrôlé par des badges ou systèmes similaires. Il est bien sûr recommandé d’éviter de laisser des employés non accrédités ou des prestataires extérieurs sans accompagnement dans ces lieux stratégiques. Il faut aussi porter attention aux prises réseau dans d’éventuels espaces ouverts au public. Elles doivent être sécurisées ou désactivées.
Si vous souhaitez des conseils sur la sécurisation plus exhaustifs, référez-vous à l’excellent Guide d’hygiène informatique édité par Agence nationale française de la sécurité des systèmes d’information.
10 best practices to protect your company’s digital security
Malicious attacks on corporate IT systems are becoming more frequent and sophisticated. The consequences of an intrusion can be disastrous, and can even threaten a company’s very survival. Here are 10 best practices to reinforce IT security.
1. Engage and train users.
A user is a weak link in a company’s security if he or she hasn’t been educated about security issues or adequately trained in best practices. And overall IT system security is only as strong as its weakest link! Every user must know which data is considered sensitive and be familiar with the company’s security policy and related guidelines. For example, basic rules could include: never re-using a personal password at work; not connecting personal equipment to the company network; locking the session on one’s work station before stepping away from it; knowing the procedure to follow when suspecting a potential breach; etc. Companies can organize spot-training on specific issues — for example, an information session on phishing, on ransomware, on the risks associated with USB keys, etc.
2. Secure work stations.
Companies must develop a policy on which software can and can’t be installed on work stations. This could take the form of a list of applications and browser extensions, or application installations requiring authorization by the IT department. You may want to host authorized applications on your own server as a way to guarantee their authenticity. Furthermore, work stations must always be up-to-date and equipped with at least antivirus and antispam software, and a local firewall that is correctly set up. Volumes and partitions where user data are stored must be encrypted and regularly backed up on unconnected systems. Encrypting laptops, especially those that leave the premises, is vital because of the heightened risk of theft or loss.
3. Localize sensitive data.
All companies must manage their sensitive information, i.e. any data whose loss or theft could be damaging or even disastrous. Companies must know at all times where the data resides and on which physical equipment it is located, in order to define specific security measures. Data that resides on external systems (for example, on the cloud, on an IaaS, or on a PaaS) must be accorded special treatment due to their specific risks, and some thought must be given to the merit of externalizing this data in light of security issues. Identifying sensitive data also allows you to better control associated access rights.
4. Ensure tight management of user accounts.
Companies must constantly ensure a flawless management of user accounts, removing them as soon as employees leave the company and regularly reviewing accounts in order to ensure the appropriate level of rights. For example, you don’t want to grant more rights than is necessary; not everyone needs administrator rights. You’ll also want to ensure the proper configuration of access rights to sensitive data. Finally, in the interest of traceability, never allow generic multi-user accounts; you’re much safer banking on single-user accounts.
5. Provide clear guidelines for password creation.
Users must receive detailed guidelines on how to create robust passwords. The guidelines must strictly forbid the writing down of passwords on physical media (notepads, whiteboards, etc.) or non-encrypted digital media (“passwords.txt”, email, etc.). Users who must juggle several complex identifiers should use a password management system (KeePass, EnPass, 1Password, etc.).
6. Strengthen authentication procedures.
To boost the security of strategic accounts, use a two-step verification process. This involves authenticating a user with a password, plus another identifier such as a physical item in the user’s possession (a FIDO U2F USB key, an OpenPGP card, an RFID chip, a token, a single-use code sent via SMS, etc.), biometric data (fingerprints, voice recognition, iris scanning, etc.), or even a geographic location (the connecting device must be within a certain physical location).
7. Limit the devices authorized to connect to the company network.
Devices that can connect to the internal network must be under the company’s jurisdiction. Devices belonging to visitors or to employees are a vulnerability over which the company has no control. To accommodate these needs, you’re better off creating a specific Wi-Fi network entirely separate from the rest of the company infrastructure, while offering a decent level of security (WPA2, soon to be WPA3, AES CCMP, regular password changes). At the same time, you should control the use of external USB keys on company systems.
8. Encrypt all data transmitting over the Internet.
Any non-encrypted data circulating on the Internet is vulnerable: emails, exchanges with cloud platforms, SaaS, etc. All these communications must go through secure protocols (HTTPS, IMAPS, SMTPS, POP3S, SFTP, etc.) Remember that email always travels on networks in an unencrypted manner. Assume that any information sent by email can be intercepted and read by anyone, unless the contents are encrypted using OpenPGP, PGP, GPG or another encryption method. Also, if users need to connect remotely to company systems over the Internet (for example, itinerant employees, teleworkers), compel them to do so through a secure tunnel such as a VPN.
9. Partition the network.
You should isolate machines that offer services visible on the Internet (for example, Web hosting) from the rest of your company network (by creating “demilitarized zones”). Also, your network architecture should be partitioned to stop an attack on one machine from spreading to all other machines. For example, you can create separate zones for different systems with similar security needs, and implement traffic filtering between zones using a firewall.
10. Don’t forget physical security.
Access to server rooms must be restricted with passcards or similar systems. Of course, you should avoid unaccredited employees or external suppliers accessing these strategic rooms unescorted. Also, you should secure or deactivate network plugs in public spaces.