Abonnements
zur Bereicherung
20 September 2019 | La Revue POLYTECHNIQUE

Huit bonnes pratiques pour sécuriser son informatique

La société informatique Steel Blue, spécialisée dans le Cloud, propose huit bonnes pratiques pour garder son informatique «en bonne santé» et se prémunir des failles de sécurité qui pourraient s’avérer catastrophiques pour les entreprises.
L’application des quelques recommandations ci-après devrait permettre de renforcer considérablement la sécurité informatique. Mais en aucun cas, elles ne pourront dispenser l’utilisateur de surveiller et de faire évoluer son informatique pour gagner en sécurité et en simplicité. Spécialisée dans le Cloud, la société informatique Steel Blue met à disposition son expertise pour accompagner ses clients dans cette démarche. Voici les huit recommandations qu’elle propose:

 
 
 
1. Choisir et gérer ses mots de passe
À en croire le classement des mots de passe les plus utilisés en 2018, il y a beaucoup à faire dans ce domaine. Ces quelques règles devraient permettre d’éviter bien des problèmes:
  • S’imposer des règles de longueur et de complexité des mots de passe.
  • Remplacer quelques caractères par un caractère spécial ressemblant. Exemples: «a» devient «@», «t» devient «!» ou «1», «e» devient «8», etc.
  • Remplacer les mots de passe par défaut sur les nouveaux équipements et services (routeur, compte de messagerie, etc.).
  • Bannir les fichiers Excel ou PostIt; imposer à ses collaborateurs un gestionnaire de mots de passe comme Lastpass, une solution fiable et efficace.
 
2. Définir les utilisateurs et gérer les droits d’accès
Le maître mot est de pouvoir, dans tous les cas, identifier la provenance d’une action sur son informatique et gérer au plus juste l’attribution et la suppression des droits.
  • Utiliser un compte «utilisateur» et non «administrateur» pour les usages quotidiens.
  • Limiter les accès «administrateur» aux seules personnes en charge de la gestion de l’informatique.
  • Identifier les différents utilisateurs et bannir les comptes génériques: stagiaire, contact, poste1, etc.; chaque employé doit être identifié nommément afin de pouvoir relier une action à un utilisateur individuel.
  • Adoptez des procédures d’arrivée et de départ du personnel strictes pour octroyer les droits informatiques au plus juste et les révoquer en temps et en heure.
 
3. Se méfier de sa messagerie
Quatre-vingt pour cent des piratages débutent par un courriel. La liste de recommandations ci-dessous devrait permettre de déceler les principales menaces.
  • Identifier l’expéditeur du courriel et vérifier la cohérence entre l’adresse, le contenu et l’expéditeur présumé; en cas de doute ne pas hésiter à contacter directement l’expéditeur.
  • Ne pas ouvrir les pièces jointes provenant d’un expéditeur inconnu ou dont le titre ou le format semblent incohérents.
  • Si un lien se trouve dans le courriel, avant de cliquer, le survoler avec la souris et vérifier la cohérence du lien dans l’infobulle qui apparaît à l’écran.
  • Ne jamais répondre aux demandes d’information personnelles et ne pas relayer les messages de type «chaînes de solidarité» et «alertes virales»; vérifier au préalable les contenus sur «hoaxbuster» pour s’assurer de leur véracité.
 
4. Effectuer les mises à jour
Qu’il s’agisse de serveurs, postes de travail, équipements réseaux, smartphones ou applications, de nombreuses mises à jour sont publiées régulièrement. Pour corriger les failles de sécurité, il faut impérativement les appliquer et demander à ses employés de faire de même. Là encore, il est possible d’automatiser ces tâches pour ne pas se reposer sur les bonnes volontés individuelles.
Si l’application des mises à jour prend trop de temps ou risque de générer des effets de bord sur l’informatique, il est conseiller de missionner l’informaticien ou d’opter pour des services externalisés. Vérifier au préalable qu’ils bénéficient bien d’un support illimité en temps et qu’ils incluent l’application régulière des mises à jour.
 
5. Sécuriser le WiFi
Le responsable d’un acte malveillant depuis une connexion Internet est, par défaut, le souscripteur de cette connexion. Qu’elle soit exploitée illicitement par un hacker ou l’un des employés de l’entreprise, la responsabilité du dirigeant est mise en jeu.
S’assurer alors que le WiFi soit sécurisé et que le protocole de chiffrement soit le bon (WPA2 ou WAP-AES). Les clés WEP sont désormais à bannir, car trop faibles; elle peuvent être déchiffrées en quelques minutes, rendant ainsi l’accès Internet accessible à n’importe qui.
Les accès WiFi public/visiteur devront être réalisés avec des antennes professionnelles (Cisco Meraki, p. ex.) qui permettent, grâce à une surveillance Cloud centralisée, d’être alerté en cas de comportement anormal, mais aussi de séparer logiquement les réseaux.
 
6. Effectuer des sauvegardes régulières
Les sauvegardes, ce devrait être comme l’assurance des voitures: obligatoire! Mais il y a sauvegarde et sauvegarde. Alors les quelques conseils ci-dessous devraient nous guider vers la bonne voie:
  • Opter pour une solution de sauvegarde automatique et non manuelle.
  • Choisir un support fiable, ayant une durée de vie suffisante; les clé USB ne sont pas fiables et ne doivent pas être utilisées pour des sauvegardes de longue durée.
  • Externaliser les sauvegardes; les solutions Cloud sont fiables et bon marché.
  • Opter pour des solutions de sauvegarde cryptées pour garantir la confidentialité des données.
  • Conserver au minimum un historique de sept jours, pour se prémunir des rançogiciels.
 
7.Redoubler de prudence avec les smartphones et tablettes
De nombreuse entreprise mettent à disposition de leurs employés des smartphones, sans pour autant les sécuriser ou du moins restreindre leur accès au réseau d’entreprise. Garder à l’esprit qu’à ce jour, les smartphones ne sont que très peu protégés. Les conseils suivants permettent de minimiser les risques:
  • Installer uniquement les applications nécessaires et vérifier, avant de les télécharger, à quelles données elles accèdent; bannir par défaut les applications trop curieuses.
  • Sauvegarder régulièrement le contenu des smartphones/tablettes sur un support externe ou dans le Cloud.
  • Utiliser une solution de MDM (Mobile Device Management) pour surveiller les appareils qui se connectent au réseau d’entreprise; Cisco Meraki, par exemple, propose des solutions efficaces et abordables.
 
8. Protéger les appareils lors des déplacements
Lors des déplacements, les risques de vol, de perte, de casse ou encore d’intrusion sont décuplés. Si l’on est amené à se déplacer régulièrement, l’utilisation d’un bureau virtuel est la meilleure solution. L’ordinateur effectuera uniquement de l’affichage et s’apparentera à une coquille vide pour la personne malveillante qui souhaiterait y accéder. Les données, quant à elles, resteront bien au chaud dans le Cloud. En complément, l’ajout d’une solution de MDM permettra de localiser son smartphone ou son ordinateur en cas de perte ou de vol et, le cas échéant, d’en effacer le contenu à distance.
 
À propos de Steel Blue
Fondée en 2015, sise à Vernier, dans le canton de Genève, Steel Blue est une société active dans l’informatique, spécialisée dans le Cloud, ayant pour mission d’aider ses clients à les faire passer d’une ère d’achat et d’exploitation de leur informatique à une époque de consommation de services informatiques à la demande. Elle accompagne les petites entreprises sur le chemin de la numérisation, en exploitant pour elles des infrastructures Cloud réservées jusqu’alors aux grands groupes. Steel Blue a pris le parti de ne pas développer sa propre infrastructure, mais de s’appuyer plutôt sur les ténors du marché, en Suisse et en Europe, pour offrir des services de haute qualité.
 
 
Steel Blue Sàrl

1214 Vernier
Tél. 022 566 18 10
www.steel-blue.ch