Cette actualité, a pour objectif de vous lister différentes mesures qu’il est essentiel de suivre pour protéger votre système informatique des risques liés à la perte, l’intégrité, la corruption, ou l’indisponibilité de tout ou partie de vos applications et de vos données informatiques.
Ainsi, vous trouverez, ci-après, un ensemble de préconisations vous permettant d’assurer la sécurité de votre système informatique :
Système de sauvegarde
Un système de sauvegarde de vos serveurs et de vos postes de travail doit être mis en place et celui-ci doit demeurer opérationnel. Ce système de sauvegarde doit prévoir la possibilité de restituer les données des périodes passées.
Le système doit répondre aux exigences suivantes :
- Disposer d’un plan de sauvegarde périodique journalier, hebdomadaire, mensuel et annuel ;
- Vérifier quotidiennement le bon fonctionnement du plan de sauvegarde ;
- Conserver au minimum un jeu de sauvegarde à l’extérieur de vos locaux ;
- Conserver un jeu de sauvegarde totalement déconnecté de votre réseau ;
- Exécuter mensuellement un test de restauration afin de vérifier l’intégrité des sauvegardes.
Plan de reprise et/ou de continuité d’activité (PRA/PCA)
L’élaboration d’un plan de reprise et de continuité d’activité permet de répondre à un sinistre (vol, dégât des eaux, incendie, etc.) en garantissant la reprise d’activité dans les plus courts délais. Il est mesuré par 2 indicateurs :
- Le RTO (Recovery Time Objective) : Durée maximale d’interruption admissible ;
- Le RPO (Recovery Point Objective) : Perte de données maximale
Le plan de continuité d’activité permet de répondre à un RTO minimal.
Un plan de reprise d’activité doit intégrer :
- Un système de sauvegarde (voir plus haut) ;
- Une redondance des éléments matériels (serveur, stockage, commutateur réseau, pare-feu, ) ;
- La disponibilité des éléments matériels de remplacement si nécessaire ;
- La disponibilité des techniciens d’intervention pour la remise en œuvre du système informatique ;
- La disponibilité des locaux.
Supervision et maintenance préventive
La maintenance préventive et la supervision ont pour objectif de réduire la probabilité de défaillance du système informatique en pratiquant des contrôles de celui-ci :
- Supervision de l’état des éléments matériels (serveurs, onduleurs, éléments actifs du réseau, …) ;
- Supervision et application des mises à jour des antivirus ;
- Vérification et application des mises à jour de sécurité des postes de travail, serveurs, stockage, hyperviseurs et micrologiciels des éléments actifs du réseau (switch, pare-feu, routeur, etc.) ;
- Supervision et vérification du plan de sauvegarde ;
- Vérification de l’état des certificats de sécurité ;
- Vérification de la charge des serveurs ;
- Vérification des fins de garantie des matériels et logiciels.
EDR managé
Un EDR (Endpoint Detection and Response) managé offre une surveillance continue et une analyse des données des terminaux pour détecter, enquêter et répondre aux menaces cyber :
- Surveillance continue : Il analyse en temps réel les activités sur les terminaux.
- Détection des menaces : Il identifie les comportements suspects ou malveillants.
- Réponse automatisée : Il applique des règles pour bloquer ou contenir les attaques.
- Expertise externe : Il apporte une expertise que les PME n’ont pas forcément en interne.
Amélioration de la posture de sécurité : Il permet aux entreprises de se concentrer sur leurs activités principales tout en renforçant leur sécurité
Cybersécurité et RGPD
Afin de répondre aux cyber-risques et aux exigences de la réglementation RGPD, il est nécessaire de mettre en place les plans d’actions
suivants :
- Réalisation d’un diagnostic cybersécurité ;
- Réalisation d’un audit RGPD et mise en en conformité avec la réglementation ;
- Journalisation des accès Internet, des accès aux fichiers et des évènements de sécurité ;
- Référencement, classification et application de stratégies de sécurité ;
- Contrôle des exports de données sur des supports externes ;
- Chiffrement des postes de travail ;
- Segmentation des accès réseaux
- Réalisation de campagnes de sensibilisation des parties prenantes sur les risques informatiques et la cybersécurité ;
- Réalisation d’une campagne d’hameçonnage factice pour initier et/ou entretenir une culture d’une hygiène du système d’information (SI) ;
- Mise en place d’un coffre-fort numérique pour la gestion des mots de passe et l’alerte sur les compromissions ;
- Installation d’un pare-feu et d’une suite de sécurité sur les postes de travail et les smartphones ;
- Mise en place d’un antispam de messagerie avec une fonction d’analyse comportementale ;
- Mise en place d’un système de mise à jour des patchs de sécurité pour postes de travail, serveurs, stockage, hyperviseurs et micrologiciels des éléments actifs du réseau ;
- Rédaction d’une charte informatique et d’une politique de gestion des données à caractère personnel.
- Mise en place d’une stratégie de mot de passe fort avec renouvellement régulier et d’une authentification forte à double facteur, phrase de passe ;
Pour renforcer la sécurité de vos comptes, Microsoft active automatiquement l’authentification multi-facteurs (MFA).
Protection électrique
Il est nécessaire de posséder un système d’onduleurs et de vérifier tous les mois qu’ils sont opérationnels en effectuant un test de coupure électrique en situation réelle.
Environnements obsolètes
Il est de votre responsabilité de prévoir la mise à jour des matériels et logiciels qui ne sont plus supportés par leur constructeur ou éditeur. En effet, ces systèmes obsolètes représentent un risque important de faille de sécurité et de défaillance notamment sur les éléments suivants :
- Systèmes d’exploitation des postes de travail et des serveurs ;
- Hyperviseurs ;
- Micrologiciels des éléments actifs du réseau.
Applications de gestion, paie, finance et SIRH
Le 25 mai 2018 est entré en vigueur le Règlement européen sur la protection des données (RGPD), imposant aux entreprises de revoir en
profondeur leur mode de création et d’administration des fichiers qui contiennent des données à caractère personnel.
Ce nouveau cadre européen s’applique à toutes les organisations publiques, privées ou associatives, dans tous les secteurs sur la gestion des
données personnelles relative aux citoyens de l’Union Européenne.
Dans ce cadre, il est fondamental, de valider les points suivants :
- S’assurer que les données transmises sont conformes au référentiel sur la protection des données ;
- S’assurer de la minimisation des données collectées ;
- Limiter l’accès aux données sensibles aux seules personnes habilitées afin d’assurer la sauvegarde et sécurité de ces données.
MISMO et ses partenaires sont à même de vous accompagner dans la mise en place des préconisations référencées dans cette note et restent à votre disposition pour répondre à vos interrogations.