Je vous accompagne dans la mise en place de la sécurité de votre système d'information

Aspect légal, responsabilités

Obligations règlementaires de conformité (CNIL)

Responsabilité civile et pénale des dirigeants d'entreprise, des utilisateurs.

Guide des bonnes pratiques et Charte d'utilisation de l'outil informatique.

Votre système d'information et de communication ainsi que vos données informatiques représentent les actifs vitaux de votre entreprise. Ne pas protéger ces actifs revient à mettre en danger le fonctionnement de votre entreprise.

Mon rôle est de vous aider à identifier les actifs à protéger, les causes d'insécurité et les menaces potentielles, de préconiser et faire mettre en place un dispositif de sécurité physique et logique adapté aux besoins de votre entreprise.

J'utilise des méthodes et des outils simples pour mettre en place une véritable politique de sécurité adaptée afin de garantir une protection de votre patrimoine professionnel et assurer la pérennité de votre entreprise.

 Les questions à se poser:

√ Savez-vous ce que coûte un arrêt d'activité consécutif à un incident informatique ?

√ 110 000 €**. C'est le coût moyen engendré par arrêt d'activité consécutif à un incident informatique.

√ Quelle est la durée moyenne de découverte d'un virus sur un réseau informatique? 46 jours !*

√ Qui donne l’alerte ? Dans 9 cas sur 10*, c'est une personne extérieure à l'entreprise qui donne l'alerte.

 *Source ANSSI (Agence Nationale de Sécurité des Systèmes d'Information).

** Valeur moyenne toutes tailles d'entreprises confondues).

 

Disponibilité, Intégrité, Confidentialité, Protection

 

 

 Pour augmenter la valeur de ces 4 critères (disponibilité, intégrité, confidentialité, protection) essentiels, il faut :

1. Sécuriser et protéger vos systèmes d'information et de communication.

2. Sécuriser vos données.

3. Sensibiliser, former et responsabiliser les utilisateurs.

4. Surveiller régulièrement et améliorer le SMSI (Système de Management de la Sécurité de l'Information) selon le modèle PDCA (amélioration continue).

Selon le référentiel général de la sécurité français, 80% des attaques informatiques sont bloquées par une bonne pratique et une hygiène informatique sérieuse ainsi que par des mesures de sécurité préventives.

19% des attaques sont parées à l’aide de dispositifs proactifs de surveillance et de détection des agressions.

Pour le 1% des attaques restantes, il est impossible de s’en prémunir à coup sûr mais l’entreprise peut considérablement limiter leur impact si elle s’est dotée d’une politique de sécurité sérieuse et si elle s’est bien préparée à gérer la continuité et la reprise d'activité.

 La sécurisation inclut la mise en place d'une véritable Politique de Sécurité des Systèmes d'Information (PSSI) comprenant :

√ L'identification du périmètre concerné.

√ L'identification des actifs à protéger selon vos critères d'importance, de confidentialité et de budget.

√ L'évaluation et la gestion, selon la méthode EBIOS, des causes d'insécurité et de menaces avec les impacts possibles sur la confidentialité, la disponibilité, l'intégrité et la traçabilité des actifs.

√ L'élaboration des règles et des procédures, sans impacter le fonctionnement de votre entreprise.

√ La définition des actions à entreprendre et des personnes responsables, visant l'amélioration continue de la sécurité.

 

Selon les critères d'importance définis, je vous assiste pour la mise en place :

√ De la stratégie de sauvegarde et d'archivage correctement planifiée et des tests réguliers de restauration.

√ Du contrôle des mises à jour.

√ De la mise en place d'outils de contrôle et de suppression des menaces.

√ De la mise en place d'une protection physique et logique de vos équipements.

√ De la protection électrique de vos équipements (coupures, surtensions, foudre).

√ Du plan de continuité et de reprise après incident (formalisé et mis à jour !).

√ De la sensibilisation, la formation et la responsabilisation des utilisateurs internes et nomades.

 

La sensibilisation la formation et la responsabilisation des utilisateurs face aux risques et aux menaces

√ La sécurité de votre système d'information passe obligatoirement par une information, une sensibilisation et une responsabilisation des utilisateurs face aux menaces potentielles pouvant conduire au vol, à la perte de données et à la divulgation d'informations.

√ Rappelons-le, vos données informatiques constituent la valeur de votre entreprise et sont vitales pour assurer son fonctionnement.

 √ La formation au bon usage (guide des bonnes pratiques) de l’outil informatique doit être prévue et la charte d'usage doit être disponible pour chaque utilisateur qui doit connaître les politiques de sécurité liées à l’informatique, les recommandations et les sanctions qui peuvent être appliquées.

 √ La formation à l'utilisation des outils de sauvegarde et de protection est impérative pour contrer les menaces les plus courantes.

 √ L'avènement du web 2.0 (médias sociaux) sur le lieu de travail implique de sensibiliser vos collaborateurs par rapport à la divulgation d'informations professionnelles, notamment à travers l'ingénierie sociale, qui pourrait être dommageable pour votre entreprise et préjudiciable (civil/pénal) pour l'employé.

 √ Les utilisateurs nomades, qui transportent souvent une partie des données de l'entreprise, doivent, en plus des utilisateurs internes, être sensibilisés et formés face aux menaces spécifiques à l'utilisation dans les lieux publics pour permettre d'assurer un niveau de protection convenable des données présentes dans leur équipement.