Précautions
- Sécurisez l'accès physique à vos locaux
La première des règles de vigilance est bien sûr la bonne sécurisation de vos locaux et plus particulièrement des espaces dits sensibles comme les salles d'hébergement des serveurs informatiques. Conditionnez leur accès à des habilitations, digicodes, badges nominatifs, etc.
- Formalisez une politique de sécurité du système d'information
L'évaluation de l'impact sur la sécurité informatique est un préalable à tout projet lié au système d'information. Recensez les règles relatives à la sécurité informatique dans un document écrit et accessible pour tous vos collaborateurs et faite le évoluer au rythme des modifications que vous apportez à votre système d'information. Dans ce document dressez l'inventaire des vulnérabilités de votre exploitation informatique et des menaces potentielles.
- Sauvegardez vos données informatiques
Vos données informatiques constituent votre patrimoine informationnel, sauvegardez-les !
- Anticipez les risques
Pour vous permettre de relancer votre activité dans les meilleurs délais suivant un incident, rédigez une procédure d'urgence explicative du fonctionnement des serveurs. Les données que vous sauvegardez doivent être stockées sur des serveurs dédiés, eux-mêmes sauvegardés régulièrement. Il est impératif également de stocker les supports de sauvegarde dans des locaux distincts et fortement protégés. Si vous renouvelez votre parc, les machines en fin de vie doivent être physiquement détruites ou débarrassées de leur disque dur. Formatez également vos périphériques de stockages amovibles avant réparation, recyclage ou changement d'utilisateur.
- Sécurisez les postes de travail sédentaires et nomades
Pour prévenir toute utilisation frauduleuse, paramétrez les postes de chaque agent de l'entreprise afin qu'il se verrouille automatiquement en cas d'absence ou d'inactivité prolongée. Sur les postes contenant des données critiques, installez, en plus, un système de contrôle des ports USB.
- Mettez en place un processus de création et de suppression des comptes utilisateurs
Sur tous les postes de travail de l'entreprise, créez des comptes utilisateurs nominatifs afin de pouvoir tracer les actions des usagers et donc de les responsabiliser.
- Définissez une politique de mot de passe stricte
Loggin et mots de passe sont des systèmes de sécurité simples et efficaces à condition de suivre un certain nombre de règles élémentaires. Au même titre qu'un code de carte de crédit, tout mot de passe est toujours individuel et confidentiel, il ne doit être noté sur aucun support. Pour une sécurité maximale, un mot de passe doit être renouvelé régulièrement et comporter 8 caractères minimum incluant lettres, chiffres et caractères spéciaux. Enfin, l'administrateur des systèmes et des réseaux doit attribuer lui-même le mot de passe des collaborateurs de l'entreprise mais les contraindre à le modifier dès la première connexion.
- Protégez les réseaux local et sans fil
Aujourd'hui de plus en plus de malwares peuvent potentiellement nuire à votre système d'information : virus, chevaux de troie, keyloggers, spyware et autres vers. Rassurez-vous, des dispositifs de sécurité existent pour vous aider à limiter votre vulnérabilité face aux attaques extérieures : routeurs filtrants, pare-feux, etc. Veillez tout particulièrement à la protection de vos messageries électroniques, réseaux sans fils et accès distants.
- Limitez les droits d'accès
Dans votre entreprise, certaines données informatiques sont plus critiques que d'autres, certains informations ne sont traitées que par un petit nombre de collaborateurs, certains fichiers relèvent de la responsabilité d'un seul individu, etc. En conséquence, assurez-vous de l'adéquation entre la fonction occupée par chaque agent et ses habilitations.
- Prémunissez-vous vis-à-vis des prestataires extérieurs
Comme la législation le stipule, vous devez impérativement intégrer une clause de confidentialité dans vos contrats de sous-traitance informatique. Les interventions des prestataires doivent faire l'objet d'un encadrement par un collaborateur de votre société et être consignées dans un registre spécifique. Par ailleurs, le chiffrement des données est obligatoire lorsqu'il s'agit de données considérées comme sensibles au regard de la loi.
- Effectuez des tests réguliers
Testez régulièrement la capacité de restauration de vos données pour vous assurer d’une reprise rapide de votre activité après un incident.
- Sensibilisez les utilisateurs aux risques liés à l'informatique en intreprise
La communication interne autour de ces questions peut s'appuyer sur plusieurs outils : formations, notes de services, fiches pratiques, onglet intranet, etc. Il est recommandé également de rédiger une charte informatique, paraphée par l’ensemble des collaborateurs, afin de préciser les bonnes pratiques et usages de la téléphonie, du web et de la messagerie électronique. Sensibilisez également vos collaborateurs aux risques liés à la navigation sur les réseaux sociaux
- Que faire en cas d'incident logiciel (virus, vers, rootshit, cheval de Troie) ?
1. Prévenir le responsable informatique de l’entreprise
2. Isoler la machine infectée du reste du réseau informatique
3. Lancer un scan c’est-à-dire une analyse des fichiers à l’aide de votre anti-virus
4. Si l’infection n’est pas éradiquée par l’anti-virus, contacter le prestataire informatique - Que faire en cas d'incident matériel (panne disque dur) ?
1. Prévenir le responsable informatique de l’entreprise
2. Vérifier que les systèmes de sauvegarde soient bien actifs sur le disque dur défaillant
3. Sauvegarder le travail en cours d’exécution
4. Ne pas éteindre le système et appeler le prestataire informatique
