Plaquette ssi
- 1. ! IX - Savoir alerter !! En cas de compromission de votre SI, pensez à préserver tous les éléments de preuves (journaux), isolez le poste infecté et contactez l’unité de gendarmerie locale en composant le 17. !C o m m u n i q u e z l e m a x i m u m d e renseignements (Qui, Quoi, Où, Quand, Comment). ! S e l o n l a g r a v i t é d e s f a i t s , v o t r e interlocuteur sera en mesure de prévenir et de faire intervenir les enquêteurs spécialisés en cybercriminalité ( Ntech). Les dix préconisations au chef d’entreprise sur la sécurité des systèmes d’information. !Sécurité des systèmes d’information (SSI) ! La SSI est devenue incontournable, dans un c o n t e x t e é c o n o m i q u e d e p l u s e n p l u s concurrentiel. Elle contribue à protéger votre patrimoine informationnel et entrepreneurial. !Elle permet d’éviter les interruptions de service, d’assurer une continuité d’exploitation, d’éviter les risques juridiques liés à l’utilisation du SI, d’éviter les divers risques cybernétiques (vol, perte, atteinte, infection, e-réputation, d é s i n f o r m a t i o n , … ) e t d ’ a p p r é h e n d e r l e s nouveaux risques émergents (outils personnels, cloud, contraintes légales, nouvelles attaques ciblées,…). !Vous trouverez ci-après quelques règles de b a s e p o u r l i m i t e r v o t r e e x p o s i t i o n à l a cybercriminalité. Votre point de contact local X - Rester informé !V o u s d i s p o s e z d e p l u s i e u r s s i t e s institutionnels de référence pour entretenir vos connaissances : !www.gendarmerie.interieur.gouv.fr www.ssi.gouv.fr www.intelligence-économique.gouv.fr www.cnil.fr www.cyber.event-etrs.fr !Mais également pour signaler tout contenu ou comportement illicite sur internet, les spams et les phishing : !www.internet-signalement.gouv.fr www.signal-spam.fr www.phishing-initiative.com ! VI - Etre en conformité ! En votre qualité de chef d’entreprise, vous êtes civilement et pénalement responsable des données a caractère personnel liées à votre SI et de son utilisation par vos collaborateurs (cf. droits/obligations et guide travail de la CNIL) !Il faut veiller à être en conformité avec les licences de logiciels et contenus soumis à copyright. !vous devez respecter et faire respecter les contraintes légales de contrôle de vos e m p l o y é s ( c f . c y b e r s u r v e i l l a n c e e t reconnaissance juridique d’une vie privée résiduelle sur le lieu de travail). ! VII - Appréhender l’externalisation ! Il convient de mesurer les risques liés à toute externalisation (cloud, infogérance,…) de tout ou partie de votre SI. Les données hébergées aux Etats-Unis doivent respecter la réglementation safe harbor. !Optez pour des clauses de confidentialité et contractualisez vos exigences relatives à l’externalisation (disponibilité, intégrité, réversibilité des données en cas de rupture de contrat, effacement sécurisé, …) VIII - Protéger vos locaux ! L’enceinte de votre entreprise doit être sécurisée : il s’agit de prévenir les risques d’intrusion physique, de vol, d’espionnage industriel ou tout autre acte de malveillance, de jour comme de nuit. !A d o p t e z u n p r i n c i p e d e d é f e n s e e n profondeur : détecter, alerter et freiner. !A c c o m p a g n e z c h a q u e i n t e r v e n a n t extérieur et contrôlez les prestataires de services (Ets de nettoyage, machine à café, photocopieurs …) ainsi que les zones sensibles. !Sensibilisez vos collaborateurs sur ces menaces d’intrusion ou malveillances. Groupement de Gendarmerie Départementale de la Gironde
- 2. I - Procéder à un inventaire ! La première règle d’or est de procéder à un inventaire exhaustif des données vitales pour votre entreprise ainsi que des ressources et des biens disponibles indispensables à leur traitement : ✴ documents (bureautiques, comptables, commerciaux, financiers, r&D,…). ✴ Base de données (clients, fournisseurs, ressources humaines,…). ✴ Brevet, savoir-faire,… ✴ Ressources matérielles et logicielles. ✴ L’architecture réseau (cartographier l’infrastructure). ✴ les comptes privilèges (administrateur ou invité suivant les habilitations octroyées). !Cet inventaire permet d’appréhender les mesures de sécurité adéquates la sauvegarde, la maintenance et les obligations légales (cf. Loi informatique et liberté relatives aux données à caractère personnel de la CNIL). !Il doit être protégé et réservé qu’aux seules personnes habilitées à en connaître. II - Faire des sauvegardes ! En cas de sinistre ou de malveillance perpétré à l’encontre de votre patrimoine, il est indispensable de disposer d’une sauvegarde de vos données vitales pour assurer une continuité ou une reprise d’activité. Elle doit être impérativement : ! ✴ pertinente (au regard de votre précèdent inventaire : informations triées, classées et dénommées pour trouver le support externe ad hoc sur lequel la sauvegarde sera effectuée). ✴ automatisée (à l’aide d’un logiciel centralisé dédié). ✴ Fréquentielle (déterminé par rapport aux pertes acceptables de données et du temps d’indisponibilité acceptable que vous pouvez supporter en cas de sinistre et des exigences métiers). ✴ Répertoriée et identifiée ( étiquetée) sur un support externe. ✴ Externalisée (stockée dans un autre bâtiment). ✴ Testée régulièrement (comme en situation de crise) !Suivant la sensibilité de vos données, vos sauvegardes peuvent être cryptées et disponibles qu’aux seules personnes habilitées. III - Exiger l’authentification ! L’accès par identification (qui suis-je?) et/ou authentification (je le prouve) à votre SI (physique et logique) impose une politique stricte d’habilitation et de gestion des mots de passe. L’authentification permet de définir les responsabilités de chacun et la non-répudiation (impossibilité de nier la participation au traitement d’une information). !Un mot de passe doit être nominatif, unique, secret, temporaire (renouvelé périodiquement avec obligation d’en changer) et robuste (au moins 8 caractères alphanumériques, majuscule, minuscule, caractères spéciaux, et inintelligible). « Un mot de passe c’est comme une brosse à dents, cela ne se prête pas et on en change souvent». !La gestion des mots de passe comprend le suivi individuel de chaque employé ou intervenant extérieur (attribution nominative, changement et révocation ). !Procédez régulièrement à des contrôles (journalisation des accès/profils d’habilitation). IV - Imposer la sécurité ! Les postes de travail et solutions nomades (téléphones, tablettes, …) doivent impérativement disposer d’un antivirus et d’un pare-feu. !Les systèmes d’exploitation et autres logiciels doivent être automatiquement mis à jour pour parer toute nouvelle vulnérabilité. !Ces outils ainsi que leurs sessions doivent être verrouillés par un mot de passe et disposer d’une mise en veille automatique sécurisée. Les sessions administrateur doivent être restreintes au strict minimum (pas de compte admin pour le chef d’entreprise et ses proches collaborateurs). !Les périphériques recélant des données sensibles doivent être cryptées et disposer de logiciels permettant la transmission sécurisée de données ( virtual private network - vpn). Pensez à la mise au rebut du matériel obsolète en détruisant celui-ci. !Pensez à installer des logiciels qui tracent les périphériques volés et effacent les données à distance. ! V - Effectuer des sensibilisations !V o s e x i g e n c e s c o n c e r n a n t l a S S I s o n t subordonnées à la rigueur de sa mise en oeuvre par vos employés. le facteur humain reste le maillon faible mais peut devenir le maillon fort. !V o s c o l l a b o r a t e u r s d o i v e n t ê t r e régulièrement informés des risques liés à l’utilisation des données de l’entreprise, du SI et d e s n o u v e a u x d a n g e r s . L e s c a m p a g n e s d e sensibilisation peuvent se faire par emails, conférence, présentiel, jeux, … !Vous devez leur donner des règles de base et leur faire signer une charte informatique (droits et devoirs quant à l’utilisation du SI). !V e i l l e z à l i m i t e r l ’ u t i l i s a t i o n d ’ o u t i l s informatiques personnels (cf. BYOD). !Sensibilisez votre personnel sur les dangers de divulgation de données professionnelles (attaques social engineering ou appels téléphoniques avec usurpation d’identité, réseaux sociaux personnels, …) !Informez votre personnel des dangers liés aux emails. il convient de ne pas répondre à ces courriers électroniques dès lors que l’expéditeur n’est pas connu et de ne pas cliquer sur les liens proposés et pièces jointes douteuses. !V e i l l e z à c e q u e c h a q u e t e n t a t i v e d e compromission ou action malveillante soit immédiatement signalée à la personne désignée et chargée de votre SI. Groupement de Gendarmerie Départementale de la Gironde