Securite des systemes et logiciels - Principes cles

Vos systemes sont votre premiere ligne de defense

Les logiciels que vous utilisez, les appareils sur lesquels vous travaillez et le reseau auquel vous etes connecte - ensemble, ils forment le fondement de la securite de vos donnees. Si ce fondement est fragile, les politiques ecrites ne serviront pas a grand-chose.

Le RGPD exige des “mesures techniques appropriees”. Les principes suivants couvrent ce que vous devez appliquer a vos systemes et logiciels.

Principe 1 : Tout maintenir a jour

La majorite des cyberattaques reussies exploitent des vulnerabilites connues pour lesquelles un correctif etait deja disponible. Installer les mises a jour est la mesure de securite la plus efficace que vous puissiez prendre.

• Systeme d’exploitation - activez les mises a jour automatiques sur tous les postes de travail et serveurs
• Navigateurs - utilisez toujours la derniere version
• Logiciels metier - planifiez des mises a jour regulieres pour votre CRM, comptabilite et autres outils
• Firmware - n’oubliez pas votre routeur, imprimante et autres equipements reseau
• Plugins et extensions - des plugins WordPress ou extensions de navigateur obsoletes sont un vecteur d’attaque frequent

Principe 2 : Moindre privilege

Donnez aux utilisateurs uniquement l’acces necessaire a leur travail, rien de plus. Cela limite les degats si un compte est compromis.

• Tout le monde n’a pas besoin d’etre administrateur
• Creez des comptes separes pour l’utilisation quotidienne et l’administration
• Supprimez les droits des qu’ils ne sont plus necessaires
• Utilisez des groupes ou des roles pour attribuer les droits de maniere coherente

Principe 3 : Segmenter votre reseau

Separez les differents types de trafic :

• Reseau invite separe du reseau de l’entreprise - les visiteurs et clients n’ont pas besoin d’acceder a vos systemes internes
• Appareils IoT sur un reseau separe - les objets connectes sont souvent mal securises
• Systemes sensibles derriere une protection supplementaire - votre systeme RH ou votre comptabilite n’a pas besoin d’etre accessible depuis chaque appareil

Principe 4 : Chiffrement

Chiffrez les donnees au repos comme en transit :

• En transit - utilisez HTTPS pour votre site web, un VPN pour le teletravail, TLS pour les emails
• Au repos - activez le chiffrement de disque sur les ordinateurs portables et supports de stockage externes (BitLocker sur Windows, FileVault sur macOS)
• Sauvegardes - chiffrez egalement vos sauvegardes, surtout si elles sont stockees hors site

Principe 5 : Journalisation et surveillance

Quand un probleme survient, vous devez pouvoir retracer ce qui s’est passe :

• Activez les journaux sur vos systemes les plus importants
• Conservez les journaux suffisamment longtemps pour enqueter sur les incidents (minimum 3 mois)
• Verifiez periodiquement les activites inhabituelles
• Assurez-vous que les journaux ne puissent pas etre supprimes par un attaquant

Principe 6 : Sauvegarde et restauration

Une sauvegarde que vous ne pouvez pas restaurer n’est pas une sauvegarde :

• Effectuez des sauvegardes quotidiennes des donnees critiques
• Conservez au moins une sauvegarde hors ligne ou dans un autre emplacement
• Testez regulierement si vos sauvegardes peuvent reellement etre restaurees
• Documentez votre procedure de restauration pour ne pas improviser en situation de crise

Appliquez ce qui convient a votre situation

Chaque entreprise n’a pas les memes besoins en matiere de securite. Une boutique en ligne avec des donnees clients a des priorites differentes d’un cabinet de conseil. Mais les principes ci-dessus s’appliquent universellement. Commencez par les bases et progressez a partir de la.