TGS

Sécurité des systèmes d'information : toutes les organisations sont concernées !

Le 05.03.2019 0 commentaires
defense-systeme-information

De nombreuses gouvernances d’entreprises ou d’associations pensent que leur Système d’Information (SI) est peu exposé aux risques. C’est faux ! Négliger la sécurité des systèmes d’information peut se révéler dramatique pour la pérennité des organisations. Pour preuve, 80% des organisations ayant perdu leurs données informatiques font faillite dans les 12 mois qui suivent.

La transformation numérique des entreprises et des associations, le contexte de cybercriminalité et les évolutions réglementaires imposent aux organisations de déployer un SI adapté :

> A leur stratégie,
> A leurs besoins,
> A leur organisation,
> A leur exposition aux risques et aux obligations.

 

Les données sensibles de votre système d’information

Un système d'information se définit comme un ensemble de moyens humains, logiciels et matériels ayant pour finalité d'élaborer, traiter, stocker, acheminer, présenter ou détruire l'information. (1)  

Vos données sont votre patrimoine. Il est par conséquent primordial de les protéger, tout particulièrement les données sensibles. Les volets logiciels et matériels sont généralement traités, mais le facteur humain est trop régulièrement occulté.

Ces données regroupent deux types d’informations.

1. Les données stratégiques pour votre organisation

> Votre fichier client,
> Votre gestion commerciale,
> Votre comptabilité,
> Vos données relatives aux ressources humaines,
> Vos informations financières et stratégiques.

2. Les données identifiées comme sensibles par le Règlement Général sur la Protection des Données à caractère personnel (RGPD)

> Données de santé,
> Données génériques,
> Données biométriques,
> Numéro de sécurité sociale,
> Données relatives à la vie sexuelle,
> Opinions politiques, religieuses ou philosophiques,
> Appartenance Syndicale,
> Infractions pénales / condamnations,
> Origines raciales ou éthiques.

L’organisation doit alors  mettre en œuvre tous les moyens nécessaires pour garantir la sécurité de ses données sensibles. Pour ce faire, elle doit :

> Identifier et cartographier les données sensibles,
> S’assurer que les environnements dans lesquels elles sont stockées respectent les bonnes pratiques en termes de sécurité informatique, y compris lorsque ces données sont externalisées chez des partenaires.
> Contrôler les outils par lesquels ces données circulent,
> Sécuriser les accès à ces informations et assurer une traçabilité
> Et bien entendu mettre en place une politique de sauvegarde permettant de garantir leur restauration en cas de sinistre.

 

Cybercriminalité : votre système d’information exposé

A tort, de nombreux dirigeants pensent être à l’abri des attaques car ils sont peu exposés ou disposent d’un faible volume d’informations sensibles. Et pourtant, huit attaques sur dix ciblent les PME. Toutes les organisations sont concernées par la cybercriminalité, quelle que soit leur taille, quelle que soit leur activité.

Les « ransomwares » (ou Cryptolocker, Rançongiciel), vrai fléau depuis deux ans, sont diffusés en masse par les « hackers ».  Sans protection particulière, sans sensibilisation des utilisateurs, le risque est important. Le volume potentiel de victimes et la facilité de mise en œuvre rend ces attaques particulièrement alléchantes pour les pirates. En 2017, Les « ransomwares » ont générés plus de 5 milliards de dollars de recettes. Les pirates sont organisés, ils échangent avec leurs victimes pour leur garantir le déchiffrage de leurs données après le paiement de la rançon, proposent des remises, des délais supplémentaires pour payer…

Et il ne s’agit là que d’un exemple parmi les attaques les plus courantes aujourd’hui.

En complément des solutions de sécurité que vous pouvez déployer, assurez-vous du fonctionnement de vos sauvegardes ! En cas de sinistre majeur, il est fréquent d’être amené à restaurer des données et hélas trop régulièrement, ces dernières ne sont pas viables.

 

Le facteur humain : premier levier pour défendre votre système d’information

Souvent occulté, le facteur humain présente un risque important à la protection de votre Système d’information. 40% des pannes et des pertes de données sont dues à des erreurs de manipulation. Malgré l’évolution des solutions de sécurité (antivirus, pare-feu), les organisations ne sont pas totalement protégées. Il est nécessaire de sensibiliser les utilisateurs aux risques et aux limites des outils informatiques.

Chaque utilisateur doit avoir conscience des risques liés :

> A l’ouverture d’une pièce jointe dangereuse,
> A la navigation sur des sites peu recommandables,
> Au téléchargement d’applications « piratées »,
> A la connexion d’objets connectés personnels sur le réseau informatique de l’entreprise,
> A la gestion de ses supports amovibles (clé USB, disque dur externe),
> Au stockage et à la sauvegarde des données sensibles qu’il peut traiter.

Les collaborateurs doivent également être sensibilisés aux attaques du type Arnaque au Président.

Vous l’aurez compris, votre Système d’Information (SI) doit être prêt à faire face à une attaque. Aujourd’hui, la question n’est plus de savoir si vous subirez une attaque mais plutôt quand elle aura lieu et quelle en sera son ampleur. Il est de la responsabilité du dirigeant de s’assurer que tous les moyens ont été mis en œuvre pour que le SI soit disponible, performant, évolutif, intègre et surtout sécurisé.

Nous vous recommandons vivement de vous poser les bonnes questions pour vous assurer que vos données sont bien protégées et qu’en cas de sinistre (attaque ou accident), la pérennité de votre organisation ne soit pas remise en cause.

(1) Source : Instruction générale interministérielle sur la protection du secret et des informations concernant la défense nationale et la sûreté de l’État n° 1300/SGDN/ PSE/SSD du 25 août 2003 - Voir : Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale - NOR: PRMD1019225A.

Contactez-nous