LA SÉCURITÉ INFORMATIQUE POUR LES PROFESSIONNELS

BIEN TROP LONGTEMPS MISE DE COTÉ PAR LES PROFESSIONNELS, LA SÉCURITÉ INFORMATIQUE DE L’ENTREPRISE DOIT-ÊTRE CONSIDÉRÉE COMME CRUCIALE POUR ÉVITER BIEN DES DÉBOIRES.

LES DÉGATS D’UNE ATTAQUE INFORMATIQUE PEUVENT-ÊTRE TERRIBLE POUR UNE PME TPE.

  • PERTE OU/ET VOL DE DONNÉES CLIENTS.
  • PERTE DES DONNÉES COMPTABLEs DE L’ENTREPRISE
  • ESPIONNAGE
LA SECURITE INFORMATIQUE POUR LES PROFESSIONNELS

QUELQUES RÈGLES DE BASES 

La gestion de la sécurité informatique de votre entreprise doit devenir une action régulière.

  1. En premier lieu sensibiliser votre personnel à la sécurité informatique.
  2. Mettre en place des processus de contrôles des actions effectuées par les collaborateurs sur les postes informatiques.
  3. Sécuriser votre parc informatique et éventuellement votre réseau interne.
  4. Mettre en place des sauvegardes des données sensibles de l’entreprise locales et déportées.
QUELLES REGLES À METTRE EN PLACE

1. SENSIBILISATION DE VOTRE PERSONNEL.

Peut-être la partie la plus difficile à mettre en place et à faire accepter par votre personnel.

Un poste informatique de travail doit être utilisé uniquement pour le travail.

Fini les achats sur des sites marchands pendant les pauses, les likes sur la page Facebook des amis ou de répondre à messages (messenger) pendant la pause.

Même si la loi du travail permet à des fins personnelles une utilisation raisonnable et « sans risques » pour la sécurité informatique de l’entreprise, il est bon de se prémunir contre des employés qui utiliseraient de manière abusive et dangereuse votre matériel informatique.

Afin de règlementer cette utilisation dites « personnelle » l’employeur doit mettre en place une (exemple de charte, téléchargeable en cliquant sur ce lien) CHARTE INFORMATIQUE interne à faire signer aux employés et à adjoindre au règlement intérieur.

Ce que je conseille aux entreprises avec qui je travaille c’est de permettre aux salariés d’utiliser leurs smartphones personnels de manière raisonnable évidemment sur leurs propres réseaux mobiles et non pas sur le Wifi interne de l’entreprise.

2. CONTRÔLES DES ACTIONS EFFECTUÉES PAR VOS COLLABORATEURS.

Le chef d’entreprise ou son responsable informatique (si désigné dans le règlement intérieur et dans la charte informatique que vous aurez fait signer en amont par vos employés) peuvent sans la présence du salarié controler les actions éffectuées sur un poste informatique dans le cadre de son travail.

  • Consulation de l’historique des navigateurs Internet 
  • Consultation des emails reçus et envoyés
  • Consulation des documents édités avec les logiciels mis à disposition par la société.
  • Consultation des dossiers stockés sur l’ordinateur*

 * Si votre employé a pensé à créer un dossier appelé « personnel » ou « privé, vous ne pouvez le consulter sans sa présence ou son autorisation préalable 

3. SÉCURISATION DES POSTES INFORMATIQUES ET DE VOTRE RÉSEAU INTERNE

Les données stockées sur les ordinateurs de votre entreprise et éventuellement sur votre serveur sont sensibles. Que ce soit des données clients ou les données comptables de la société, ces données doivent-être considérées comme précieuses et vitales.

La règlementation européenne sur la protection des données (RGPD MAI 2018) vous oblige à mettre en place des actions de sécurité et de protection pour toutes les données que vous collectez auprès de vos clients dans le cadre de votre relation commerciale.

  • Refonte de vos formulaires qu’ils soient électroniques ou papiers
  • Informez vos clients de leurs droits à la gestion de leurs données personnelles collectées par votre entreprise :
    • Modification
    • Suppression
    • Portabilité
  • Sécurisation des données collectées

3.1 POSTES INFORMATIQUES

Chaque poste informatique doit-être sécurisé et protégé.

  1. Créer une session différente pour chaque utilisateur qui utilise le même poste informatique.
  2. Créer un mot de passe sécurisé pour chaque utilisateur (lire mon article sur Comment créer des mots de passes sécurisés)
  3. Mettre en place un écran de veille automatique sur chaque poste (au bout de 5 mins) avec demande de mot de passe à chaque réouverture du poste de travail.
  4. Scanner de manière régulière les postes de travail avec un antivirus professionnel.
  5. Installer un antivirus performant sur chaque poste.
  6. Effectuer des sauvegardes régulières.

 

3.2 SERVEURS INFORMATIQUES

Le point central de votre entreprise en matière de stockage de données

  1. Définir au sein de l’entreprise un responsable informatique suffisamment formé ou une entreprise externe pour la gestion de votre serveur.
  2. Sécuriser de manière physique l’accès à votre serveur (local, baie informatique). Local technique ou baie informatique fermés à clef.
  3. Mettre à jour votre serveur régulièrement, vérifier si les sauvegardes locales sont bien effectuées et configurées.

 

3.3 RÉSEAU INTERNE ET RÉSEAU INTERNET

Une porte d’accès aux données de votre entreprise

  1. Faire évaluer par un professionnel « Administrateur réseau » la sécurité interne de votre entreprise en ce qui concerne la communication réseau (partage de fichiers ou dossiers, imprimantes en réseau)
  2. Etablir avec lui les autorisations (lecture, écriture, modification) pour chaque type d’utilisateur.
  3. Configurer votre box internet et son propre pare feu et éventuellement les accès externes autorisés sur votre réseau.

Je déconseille vivement d’activer le Wifi sur une box professionnelle ou au mieux en cas de besoin de cacher le réseau Wifi (SSID) aux utilisateurs externes.

 

4. SAUVEGARDE DES DONNÉES DE L’ENTREPRISE.

Les données qu’elles soient celles récoltées auprès de votre clientèle ou celles que vous crééez pour la gestion de votre entreprise sont extrèmement précieuses.

Votre entreprise est équipée d’un serveur pour distribuer des logiciels aux postes clients, ce dernier sert aussi  à sauvegarder vos données.

Ce dernier doit être parfaitement configuré pour effectuer les différentes sauvegardes de l’entreprise.

 

Que devez vous sauvegarder ?

  • Votre fichier clients
  • Vos fichiers et documents comptables
  • Vos fichiers et documents administratifs
  • Les bases de données provenant de vos logiciels métiers
  • Et souvent oubliés une sauvegarde de vos emails (fichiers pst pour Outlook)

Votre entreprise n’a pas de serveur.

Ce n’est pas une obligation et un problème. Mais par sécurité il est primordial de sauvegarder vos données sur un support sécurisé.

Il existe de nombreuses solutions locales mais je vous en conseillerai une seule qui pour moi utilise une fonctionnalité phare des serveurs la copie en RAID.

Cette solution c’est un système de disque dur NAS. Ce boitier contient au minimum deux disques durs qu’ils soient mécaniques ou électroniques et qui copie en double toutes vos sauvegardes. En cas de panne d’un des deux disques durs, vous êtes sur d’avoir une copie exacte de vos données.

Pour un investissement raisonnable vous pouvez mettre en place une solution de sauvegarde sure. Pour exemple un NAS de marque connue avec deux disques durs de 2 TO chacun se vend autour des 500 € HT

 

NE PAS METTRE LES OEUFS DANS LE MÊME PANIER !

Il n’est pas suffisant de sauvegarder vos données en local, sur le site de votre entreprise. Imaginez votre local subit un incendie, ou un vol de matériel et toutes vos données sont perdues à jamais.

Afin de parer à cette éventualité il faut que vous mettiez en place des sauvegardes déportées sur un hébergement ou un cloud extérieur.

Selon le type de données (sensibles ou pas) vous devez choisir le bon prestataire pour la sauvegarde de vos données en mode déporté. Pour le milieu médical lire mon article sur La sécurisation des données patients

 

Le cloud pour entreprise

Il existe plusieurs acteurs de la sauvegarde cloud pour entreprise sur le net. Google, Acronis, Ionos et bien d’autres proposent différents forfaits mensuels selon votre volume de données à sauvegarder.

Prenons pour exemple IONOS société réputée dans l’hébergement de sites Internet propose un système de sauvegarde en cloud.

  • Pour 1000 Go (1 Terra) de données Ionos propose un forfait à 75 € HT / mois.

Ces solutions de clouds pour entreprises sont extrèments sécurisées avec une communication cryptée entre vos ordinateurs, serveurs et le cloud.

Vos données sauvegardées sont dupliquées voire triplées sur des serveurs de secours et qui sont situés dans des zones géographiques différentes.

En mettant en place ces solutions de sauvegardes locales et déportées vos données vitales seront en sécurité et disponibles en cas de problèmes critiques.

Sécurité informatique des entreprises

EN TANT QUE CHEF D’ENTREPRISE VOUS ÊTES RESPONSABLE DES DONNÉES STOCKÉES ET UTILISÉES AU SEIN DE VOTRE SOCIÉTÉ.

La guerre est déclarée par la CNIL aux entreprises qui ne respectent pas ou mal la gestion des données personnelles récoltées dans le cadre de leurs activités. 

Pour exemple une grande agence immobilière s’est vu condamnée à une amende de 400 000 € pour manquement à la RGPD