Cybersecurité au Luxembourg : quel que soit le secteur d'activité, tous les départements de l'entreprise sont concernés par la sécurité informatique.

6 axes pour améliorer votre sécurité informatique

Difficile de savoir par où commencer, quand on veut renforcer la sécurité informatique au sein de son entreprise ! À travers cet article, je vous propose six axes de bases, pour renforcer votre cybersécurité.

Très petite entreprise ou grand groupe international, même combat : la cybersécurité au Luxembourg (et ailleurs) représente un enjeu majeur pour toutes les organisations. Il n’y a qu’a voir dans la presse : séquestration de données dans des hôpitaux, arrêt d’usines, usurpation d’identité…

Si l’on se place dans le cadre d’une PME, l’arsenal de solutions de sécurité que l’on peut se permettre d’acquérir ou de gérer est bien souvent incomplet. On devient alors la cible d’attaques menées de manière hasardeuse et bien souvent automatiques par les pirates. Cela peut mettre toute votre société à genoux, pour une période allant de plusieurs jours à plusieurs semaines, selon vos capacités à calmer la tempête.

Dans une grande entreprise, les moyens à dispositions sont bien plus importants. Mais, est-ce là la garantie d’une sécurité informatique sans faille ? Malheureusement non. Les budgets alloués sont plus importants que dans une PME, mais, vous faites quand même figure de cible de choix pour les hackers (espionnage industriel, demandes de rançons…). Non seulement des sommes faramineuses sont en jeu, mais aussi la réputation de votre entreprise!

Les arguments ne manquent pas. La cybersécurité est un enjeu crucial et c’est l’affaire de toutes et tous.

Suivre une démarche structurée

Face à une pléthore d’offres sur le marché en termes de solutions (anti-virus, anti-spam, pare-feu, IDS…), comment faire les bons choix ? Il est coutume d’essayer en premier lieu d’éteindre le feu mais vous n’êtes pas à l’abri que tout s’enflamme à nouveau. L’exemple classique : vous avez été impactés par un virus dans votre société et vous voulez à tout prix éviter que cela se reproduise. Vous installez alors un antivirus pour résoudre le problème.

Malheureusement, la situation est plus complexe qu’elle n’en a l’air et la résolution durable d’une telle problématique sera elle aussi, complexe.

Pour tenter de dire simplement les choses, voilà le scénario (assez habituel) qui a pu se produire : vos utilisateur·ice·s ne sont pas suffisamment formé·e·s, votre politique de gestion des mots de passe pas assez robuste ou encore, les droits d’accès, notamment les droits administrateurs, sont en quasi libre-service sur certaines de vos machines. Toutes ces raisons additionnées engendrent de nombreuses failles qui ont ouvert la porte au virus. 

Ce qu’il faut comprendre, c’est qu’il ne s’agit pas seulement d’une affaire d’outils, comme d’un antivirus dans cet exemple. Nous faisons clairement face à une problématique généralisée, qui concerne autant la technique que l’humain. Il est important d’aborder la cybersécurité en profondeur et à grande échelle.

Pour vous aider, je vous propose donc d’axer vos réflexions sur la démarche globale. Il existe beaucoup de méthodes, mais personnellement, j’aime avancer en tentant d’adopter une démarche pragmatique avec des « quick-wins ».

En voici une : le Centre pour la sécurité internet (CIS) est une entité à but non lucratif fondée en 2000, dont la mission consiste à « identifier, développer, valider, promouvoir et soutenir les solutions recommandées pour la cyberdéfense ». Je vous propose d’appuyer votre stratégie d’amélioration de la sécurité en vous basant sur les niveaux de maturité recommandés par le CIS.

1. Inventoriez et contrôlez vos équipements…

Ce que vous ne gérez pas, vous ne le contrôlez pas. Quoi de pire qu’une vieille station Windows XP, bourrée de failles, qui traîne au fond d’un placard et qui héberge un serveur web ? Le vecteur d’infection idéal pour les attaquants ! L’idée est donc de vérifier que vous avez connaissance de votre parc de matériel actif. Ce sera également l’occasion de vérifier que tous ces équipements sont toujours associés à un contrat de maintenance et de support. Cela vous permettra d’anticiper vos coûts d’exploitation et surtout, de vous faire accompagner si vous subissez une panne ou un piratage. 

2. …Puis répétez l’opération avec vos logiciels !

Même rengaine pour vos logiciels : ce que vous ne gérez pas, vous ne le contrôlez pas. En d’autres termes, commencez par inventorier tous les applications dont dispose l’entreprise. Cela permettra de définir et de maintenir à jour dans votre catalogue interne la liste des logiciels dans lesquels vous avez confiance.

Posséder une telle base vous permettra également d’entretenir une vision satisfaisante de votre périmètre technique, périmètre qui pourra servir de base pour définir des axes de formation pour votre personnel ou pour identifier plus facilement les compétences techniques des prochains membres de votre équipe.

3. Gérez en continu les vulnérabilités

La gestion en continu des vulnérabilités consiste à traquer les failles dans votre infrastructure IT et à les et les corriger au fur et à mesure qu’elles sont identifiées.

Avec l’avènement des méthodes agiles, les logiciels présentent des cycles de développement de plus en plus fréquents et il n’est pas rare d’exploiter un programme qui n’a pas la dernière mise à jour, tant le rythme est soutenu. Chaque mise à jour provoque généralement son lot de corrections de failles de sécurité, mais apporte également de nouvelles fonctionnalités… Dont les failles sont inconnues jusqu’alors.

Il est donc essentiel de régulièrement scanner son infrastructure IT à la recherche de nouvelles failles et de les corriger. La fréquence idéale est selon moi d’une fois par mois, mais, selon la criticité de votre secteur d’activité, un minimum d’une fois par an peut convenir.

4. Ayez un usage contrôlé des droits administrateur

Disposer des droits administrateur est souvent perçu comme un avantage bien pratique pour l’utilisateur. Exempt de toute restriction, il peut installer à sa guise tout ce dont il a besoin pour travailler. Si cela lui est permis par la politique de sécurité de l’entreprise, pourquoi s’en priver, puisque « tout fonctionne » ?

Seulement, voilà, cela pose un problème. Si vous pouvez vous connecter en tant qu’administrateur, alors, toutes vos opérations seront effectuées avec ce même niveau de droit, qu’elles soient conscientes ou inconscientes. Exemple typique d’opération inconsciente : vous ouvrez la pièce-jointe à un email et celle-ci est infectée par un virus. Celui-ci utilise alors vos droits administrateurs pour se déployer aisément dans votre ordinateur, s’y installer bien au chaud et tenter de se répliquer vers d’autres postes du même réseau.

Et puis, si les utilisateurs de votre entreprise peuvent se connecter en tant qu’administrateur, ils peuvent alors installer les logiciels qu’ils souhaitent. Vous perdrez alors la main sur l’inventaire et le contrôle que je prônais préalablement. En bref, les droits administrateurs, c’est juste pour les opérations d’administration !

5. Sécurisez la configuration de tous vos équipements

Telles qu’elles sont fournies par les fabricants et les revendeurs, les configurations par défaut des systèmes d’exploitation et des applications sont normalement orientées pour faciliter le déploiement et l’utilisation – pas la sécurité.

Même si une configuration initiale solide et sécurisée est développée puis installée, elle doit être administrée en permanence pour éviter la « dégradation » de la sécurité, au fur et à mesure que le logiciel est mis à jour ou corrigé.

6. Configurez et analysez les journaux d’audit

Le journal d’audit est une trace de tout ce qui se passe dans le système. Cela permet de détecter les pannes, mais également les attaques. Bien souvent, les journaux d’audit ne sont pas configurés ou n’enregistrent pas les activités avec un niveau de détail suffisant. Alors la première chose à faire est de les activer.

Il arrive parfois que le journal d’audit demeure l’unique preuve d’une attaque réussie. De nombreuses organisations les conservent à des fins de conformité, mais les attaquants se fient au fait que ces dernières les consultent rarement et ne savent pas que leurs systèmes ont été compromis.

En conclusion

Pas facile de savoir où placer ses priorités en matière de cybersécurité ! Ce qu’il faut retenir, c’est d’une part, qu’il n’existe pas un outil parfait et d’autre part, que leur mise en place ne suffit pas. Il s’agit de penser la sécurité dans sa globalité et de s’orienter vers le plus pertinent et efficient, en tenant compte des spécificités de votre entreprise.

D’où l’importance d’aborder la sécurité à travers une démarche permettant d’opérer les meilleurs choix. Le premier niveau de maturité décrit par le CIS peut ensuite être étendu avec des mesures de défense contre les virus, l’intégration de protections périmétriques ou encore, des restaurations en cas de perte de données.

Ah, un dernier conseil pour la route : faire appel aux services d’une entreprise spécialisée peut être particulièrement bénéfique.

Article rédigé par Yvan Barnabaux.

Recevoir notre actualité
Suivez-nous
Coordonnées

1, rue de la Poudrerie
3364 Leudelange, Luxembourg
+352 27 99 49 29
contact@innoviction.lu

Merci à nos partenaires