Guide ssi

2 861 vues

Publié le

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 861
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
226
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Guide ssi

  1. 1. Sécurité des Systèmes d’Information Guide pratique à l’usage des dirigeants DRIRE Rhône-Alpes –1–
  2. 2. –2–
  3. 3. SommairePREAMBULE : La Sécurité des Système d’Information ne se résume pas à protéger son informatique 4LES FICHES1- Evaluer l’importance de ses informations pour mieux les protéger 62- Quels outils pour une protection minimum du SI ? 113- Sécuriser son SI lors des déplacements professionnels 164- Gérer le courrier électronique indésirable 185- Comment sauvegarder vos données numériques ? 226- Les droits et obligations du chef d’entreprise en matière de SSI 267- Externaliser une partie de son activité sans danger 298- Gérer et contrôler les accès aux données de l’entreprise 329- Prendre en compte et maîtriser le facteur humain dans la SSI 3610- L’usage des réseaux sociaux dans l’entrepriseI 39ContACtS 43 –3–
  4. 4. La Sécurité des Système d’Information nese résume pas à protéger son informatiqueUn dégât des eaux, pas de sauvegarde à l’abri et c’est votre entreprise qui est en péril. Vos procédés de fabricationpiratés, c’est votre bénéfice qui s’envole.Que vous utilisiez un peu ou beaucoup l’informatique, votre entreprise en est forcément dépendante.Et si la survie de votre entreprise tenait à la sécurité de votre système d’Information (SI) ?Pourquoi protéger son SI ?Usage d’outils nomades (téléphone, PDA, clés USB), accès distants aux données internes de l’entreprise,connexion sans fil à Internet … : ces nouveaux usages facilitent la dématérialisation et la circulation del’information mais génèrent de nouveaux risques.Selon une étude réalisée par l’Espace Numérique Entreprises auprès de 350 PME du Rhône, plus d’un tiersdes entreprises reconnaissent avoir perdu des données dans l’année. Quelles qu’en soient les causes, cespertes engendrent des coûts directs (remplacement des équipements, chômage technique des salariés)et indirects (perte d’image) ainsi que des conséquences parfois irréversibles pour l’entreprise.Sécuriser son système d’information ne se résume pas qu’à prendre de nouvelles mesures techniques, c’estaussi protéger l’information stratégique de l’entreprise (plans, fichiers client, etc.). Le vol ou l’altération deces données capitales aura certainement des des conséquences parfois irréversibles pour l’entreprise. Suivez le guide Qu’est ce qu’un système d’information ? A la base de tout fonctionnement d’entreprise, il y a des informations utilisées par une ou plusieurs personnes. Pour traiter, stocker et transmettre ces informations, les collaborateurs utilisent des outils (informatiques ou pas) et agissent selon des procédures d’utilisation (envoyer un email, créer ou ar- chiver un document …). Cet ensemble organisé de moyens techniques, administratifs, et humains permettant de gérer l’infor- mation dans l’entreprise s’appelle un système d’information (SI). –4–
  5. 5. Par ailleurs, la sécurité des systèmes d’information représente également un avantage concurrentiel car elle offre la garantie aux clients et partenaires que les informations confidentielles, confiées à votre entreprise (cahiers des charges, plans), sont protégées. Pourquoi ce guide ? Ce guide est le fruit d’une démarche entreprise par les services de l’Etat pour sensibiliser les dirigeants à la sécurité des systèmes d’information. Il se compose de 10 fiches pratiques traitant de manière synthétique des règles élémentaires de SSI.Qu’est ce que la sécurité des systèmes d’information ?L’informatique n’étant finalement qu’un moyen de faciliter la gestion de l’information, il serait doncréducteur de considérer que protéger ses outils, c’est protéger l’information de l’entreprise. La sécuritédes systèmes d’information (SSI) prend en compte tous les éléments qui composent le SI : les utilisa-teurs, les procédures et les outils.Protéger son SI, c’est donc aussi sensibiliser les utilisateurs à la sécurité ou revoir certaines procédurescomportant des risques pour le patrimoine informationnel de l’entreprise. –5–
  6. 6. Evaluer l’importance de ses informations pour mieux les protéger Ce n’était qu’un fichier parmi tant d’autres maismises à disposition d’un concurrent, les données sontdevenues des informations stratégiques. Voici les points clés à retenir : Â Réaliser un état des lieux afin d’avoir une visionTous les éléments d’un système d’information d’ensemble de son système d’information etn’ont pas besoin d’être sécurisés de la même ma- élaborer une classification des données.nière.Protéger l’ensemble de son système d’informa- Â Formaliser et faire connaître les règles géné-tion à un même niveau de sécurité se révèlerait rales de sécurité à tous les acteurs du systèmed’ailleurs extrêmement coûteux. Certaines infor- d’information.mations stratégiques nécessitent une protectionimportante mais elles ne représentent pas la ma- Â Etre sélectif : il est impossible de protéger toutejorité des données d’une entreprise. l’information à un fort niveau de sécurité.C’est pourquoi la Sécurité d’un Système d’Informa-tion (SSI) implique une réflexion au préalable surla valeur de l’information avant de mettre en placedes outils de protection. Le but est de trouver lemeilleur compromis entre les moyens que l’on estprêt à consacrer pour se protéger et la volonté de Sommaireparer les menaces identifiées. 1 - Comment identifier ce qui doit êtreCette fiche pratique vous explique comment hié- protégé ?rarchiser les données à protéger en fonction de 2 - Hiérarchiser la valeur des informationsleur importance stratégique et comment mettre 3 - Evaluer les risquesen place une politique de sécurité adéquate. 4 - Bâtir une politique de sécurité adéquateAvertissement : cette fiche est le fruit d’un travail 5 - Pour aller plus loinde vulgarisation et comporte par conséquent uneinformation générale et non exhaustive. Elle nesaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. –6–
  7. 7. 1 - Comment identifier ce qui doit Attribuez ensuite des droits d’accès aux docu- ments à l’aide de profils utilisateurs selon leur de-être protégé ? gré de responsabilité dans l’entreprise. Il est préfé- rable de désigner une personne responsable pourLa première étape est de réaliser un état des lieux ce type d’activité.afin d’avoir une vision d’ensemble de son systèmed’information. Pour vous aider dans la démarche de classificationIl n’est pas toujours facile pour un dirigeant de me- de vos données, vous pouvez vous inspirer libre-surer l’étendue de l’information détenue par son ment du tableau ci-dessous.entreprise car elle n’est généralement pas stockéedans un lieu unique. En voici la légende :Dans un premier temps, commencez par recenser : 1 Information sensible : information susceptible  les ressources internes de votre entreprise : de causer des préjudices à l’entreprise si elle est ré- messagerie électronique (emails, contacts, vélée à des personnes mal intentionnées pouvant agenda), données stratégiques, fichier clients, entraîner la perte d’un avantage compétitif ou une données techniques… dégradation du niveau de sécurité.  les ressources de l’entreprise exploitées ou dé- 2 Information stratégique : information essentielle tenues par un prestataire extérieur ou un tiers. et critique contenant la valeur ajoutée de l’entre-  les ressources appartenant à un prestataire ex- prise (savoir-faire, procédures, méthodes de fabri- térieur exploitées par lui au profit de votre en- cation…). treprise.2 - Hiérarchiser la valeur des Voici quelques exemples donnés à titre indicatifinformations permettant de remplir le tableau :  La divulgation d’une proposition commercialePour définir le degré de valeur ajoutée de chaque type peut permettre à un concurrent de remporterde données, hiérarchisez la valeur des informations selon un appel d’offre en proposant un meilleur prix.l’importance de leur disponibilité et de leur intégrité. (information sensible) Tableau de classification des informations de l’entreprise selon leur degré d’importance Information Information sensible1 Information Accès autorisé pour divulgable (moyenne valeur stratégique2 les personnes (faible valeur ajoutée) ajoutée) (forte valeur ajoutée) Contacts et dossiers du personnel Factures clients Factures fournisseurs Listes fournisseurs Données comptables Relevés de compte Propositions commerciales Contrats commerciaux Contrats de travail Données de production Grille tarifaire des produits Procédés de fabrication Veille concurrentielle Autre –7–
  8. 8.  La diffusion d’un catalogue de produits ac- 3.1. Quelles sont les menaces ? compagnée des prix permet à des prospects de faire appel aux services de l’entreprise. (in- Une menace est une action susceptible de nuire et formation ouverte) de causer des dommages à un système d’informa- tion ou à une entreprise.En général, dans les entreprises : Elle peut être d’origine humaine (maladresse, at-  5% de l’information est stratégique : toute in- taque) ou technique (panne) et être interne ou ex- formation permettant de mettre à nu la valeur terne à l’entreprise. ajoutée de l’entreprise ou divulguant ses avan- tages compétitifs. Le CLUSIF (Club de la Sécurité de l’Information  15 % de l’information est sensible : ensemble Français) a établi une grille des menaces types et des données qui, associées et mises en cohé- de leurs conséquences dans un document intitulé rence, peuvent révéler une partie de l’informa- Plan de continuité d’activité – Stratégie et solu- tion stratégique. tions de secours du SI et publié en 20031.  80% de l’information est divulgable (ouverte) : ensemble des données diffusables à l’exté- rieur de l’entreprise sans pour autant lui être 3.2. Quelle est la probabilité préjudiciable. qu’une menace se materialise ? Pour chaque menace, il convient ensuite d’estimer la probabilité qu’elle se concrétise. 5% Information Voici, à titre indicatif, un état des causes de perte stratégique de données les plus fréquentes chez les entrepri- 15% ses du Rhône : Information sensible 85% Information divulgable (ouverte) Source : Observatoire des usages TIC – La sécurité informatique Remarque : dans les PME rhodaniennes. Espace Numérique Entreprises, 2008. Il est courant de dire qu’en matière de SSI, 80% de l’effort en matière de sécurité (budget, res- sources) doit être consacré à sécuriser les 20 % de données qui contiennent 80% de l’informa- 3.3. Quels impacts pour l’entreprise ? tion stratégique de l’entreprise. L’analyse d’impact consiste à mesurer les consé- quences d’un risque qui se matérialise. A titre d’exemple, l’Afnor a établi un système de3 - Evaluer les risques classification des risques liés aux informations (Ta- bleau ci-après).La phase d’évaluation des risques internes et ex-ternes permet d’identifier les différentes failles,d’estimer leur probabilité et d’étudier leur impacten estimant le coût des dommages qu’elles cau-seraient. 1 Ce dossier est téléchargeable sur le site www.clusif.fr –8–
  9. 9. Tableau de classification des risqueselon le degré d’importance des informations (Afnor) 3 : secret 2 : confidentiel 1 : diffusion contrôléePréjudice potentiel Préjudice grave Préjudice faible Perturbation Préjudice faible Perturbation Séquelles compromettant l’action ponctuelles ponctuelles à court et moyen termeRisques tolérés Aucun risque même résiduel n’est Des risques très limités peuvent Des risques sont pris en connais- acceptable être pris sance de causeProtection Recherche d’une protection Prise en compte de la notion de La fréquence et le coût du pré- maximale probabilité d’occurrence judice potentiel déterminent les mesures prisesVous pouvez également vous aider de méthodes  Stratégique : définition des objectifs globauxd’analyse de risques approfondies et reconnues de sécurité, définition qui découle du travailen France telles que : d’état des lieux, de hiérarchisation des don-  EBIOS (Expression des Besoins et Identification nées selon leur importance stratégique et des Objectifs de Sécurité). Elaborée par la DCSSI d’analyse des risques. (Direction Centrale de la Sécurité des Systèmes d’Information) (renvoi vers le site web ?), cette  Organisationnel : plan de secours , charte uti- méthode s’appuie sur une étude du contexte et lisateur, définition du rôle de chaque membre sur l’expression des besoins de sécurité en vue du personnel, sessions de sensibilisation des d’identifier les objectifs de sécurité. collaborateurs à la SSI.  MEHARI (Méthode Harmonisée d’Analyse de  Technique : mise en place des moyens de pro- Risques). Elaborée par le CLUSIF (Club de la tection (antivirus, mot de passe…). Sécurité de l’Information Français), cette mé- thode d’audit permet d’élaborer des scénarios 4.2. Sécuriser son SI de risques. Il s’agit de mettre en place des mesures préventi-4 - Bâtir une politique de sécurité ves et curatives.adéquate Certaines reposent sur des outils et d’autres sur le comportement des utilisateurs.4.1. Les grands principes Mais avant de mettre en place ces mesures, l’entre- prise doit d’abord statuer sur 2 questions :La SSI repose sur trois finalités :  Quelle est la quantité maximale d’informa-  L’intégrité du SI : s’assurer de son bon fonction- tions qui peut être perdue sans compromettre nement, de l’exactitude des données et de leur l’activité de l’entreprise ? intégrité.  La confidentialité SI : s’assurer que seules les  Quel est le délai maximum de reprise d’activité personnes autorisées ont accès aux données. acceptable sans menacer le fonctionnement de la société ?  La disponibilité du SI : s’assurer que les dif- férentes ressources (ordinateurs, réseaux, pé- La réponse à ces questions va permettre d’évaluer riphériques, applications) sont accessibles au le niveau de sécurité que l’entreprise devra mettre moment voulu par les personnes autorisées. en place et de déterminer les informations qui de- vront être protégées et rétablies en priorité en casEn fonction de ces objectifs, la politique de sécuri- de sinistre pour générer un minimum de pertes, yté de l’entreprise va se décliner de trois manières : compris financières. –9–
  10. 10. ‹ Les mesures préventives Les plus importantes sont :Elles permettent d’éviter une interruption de l’activité.  ISO 27000 (série de normes dédiées à la sécu- rité de l’information)Voici les principaux points de vigilance :  ISO 17799 (code de bonnes pratiques)  Plan de sauvegarde : il s’agit de déterminer la  ISO TR 13335 (guide d’administration de la sé- fréquence et le type de sauvegarde (complè- curité des systèmes d’information « Sécurité te, différentielle, incrémentale) pour chaque informatique : manager et assurer ») catégorie d’information (basique, sensible, http://www.afnor.fr stratégique). ‹ CLUSIF : (Club de la Sécurité de l’Information  Sécurité logique : il convient de mettre en Français) place des outils de protection de base (anti-vi- Le Club de la Sécurité de l’Information Français rus, firewall, anti-spam) et de les mettre à jour. (CLUSIF) est une association œuvrant pour la sécu- A cela peuvent s’ajouter des contrôles d’accès rité de l’information dans les organisations. aux données par mot de passe ou certificat Il publie régulièrement des documents techniques électronique. et méthodologiques sur le sujet. http://www.clusif.asso.fr  Sécurité physique : il s’agit de la sécurité des locaux. Une attention particulière doit être ‹ ANSSI : Agence Nationale de la Sécurité des portée à la sécurité du serveur de l’entreprise. Systèmes d’Information  Le facteur humain : la sécurité des systèmes L’ANSSI représente l’autorité nationale en matière d’information n’est pas qu’une affaire d’outils de sécurité des systèmes d’information. A ce titre, mais dépend aussi et surtout d’une informa- elle est chargée de proposer les règles à appliquer tion régulière aux utilisateurs de l’informati- pour la protection des systèmes d’information que dans l’entreprise. Des règles élémentaires de l’État et de vérifier l’application des mesures (comme ne pas noter son mot de passe sur un adoptées. papier) doivent être ainsi rappelées. Dans le domaine de la défense informatique, elle as- sure un service de veille, de détection, d’alerte et de‹ Mesures curatives réaction aux attaques informatiques, notammentCes mesures sont nécessaires car aucune mesure sur les réseaux de l’État. L’agence va créer un centrepréventive n’est efficace à 100%. Elles sont mises de détection précoce des attaques informatiques.en œuvre lorsqu’un sinistre survient : http://www.ssi.gouv.fr  Restauration des dernières sauvegardes  Redémarrage des applications  Redémarrage des machines (ordinateurs…) ‹ Portail de la sécurité informatique (SGDN) Ce portail propose des fiches pratiques et des5. Pour aller plus loin conseils destinés à tous les publics (particuliers, professionnels, PME). Il comporte également des‹ AFNOR : (Association française de normali- actualités et avertit de menaces nouvellementsation) rencontrées qui appellent une action rapide desLa sécurité des Systèmes d’Information et son mana- utilisateurs pour en limiter les effets.gement s’appuient sur des normes de la sécurité. http://www.securite-informatique.gouv.fr – 10 –
  11. 11. Quels outils utiliser pour une protection minimum du SI ? Des pirates informatiques entraient régulière-ment dans notre système d’information via Internetsans que nous nous en apercevions. Jusqu’au jour où Voici les points clés à retenir :certaines de nos informations stratégiques se sontretrouvées chez notre principal concurrent.  Choisir des produits de sécurité adaptés à vos besoins.  Utiliser plusieurs dispositifs de sécurité infor-Une entreprise est exposée quotidiennement aux matique complémentaires.risques d’attaques informatiques. Il est donc pri-mordial de mettre en œuvre de façon préventive  Effectuer régulièrement des mises à jour desdes moyens de protection minimaux adaptés. anti-virus et appliquer les correctifs de sécuritéEn matière de sécurité logique2, une PME a besoin et les mises à jour des systèmes d’exploitation.principalement d’outils permettant de préserverdes données importantes et de pouvoir échanger  Ne pas oublier qu’aucun dispositif de sécuritéou faire circuler des informations sensibles. informatique n’est fiable à 100 %.Cette fiche pratique vous informera sur les anti-virus, les pare-feux ainsi que l’usage du certificatnumérique. Sommaire 1- Les outils de protection de base2 Sécurité logique : sécurité des données. 2 - Sécuriser les échanges de donnéesAvertissement : cette fiche est le fruit d’un travail 3 - Pour aller plus loinde vulgarisation et comporte par conséquent uneinformation générale et non exhaustive. Elle nesaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 11 –
  12. 12. 1. Les outils de protection de  La quarantaine peut malheureusement isoler des fichiers essentiels au fonctionnement dubase système et altérer ce dernier.Il est impératif qu’au sein de votre entreprise, cha-que poste de travail et/ou le serveur soit protégé 1.2. Le pare-feupar un antivirus et un pare-feu (firewall) mis à jour. ‹ Qu’est-ce que c’est ? Un pare-feu ou firewall (en anglais) désigne un1.1. L’antivirus dispositif capable de bloquer les virus et d’éviter la fuite d’informations vers l’extérieur. Lorsque des‹ Qu’est-ce que c’est ? données sont transmises entre ordinateurs via In-Il s’agit d’un logiciel permettant de protéger son ternet, les informations entrent et sortent par desposte informatique ou son système contre les in- portes virtuelles appelées « ports ». Chaque ordi-fections informatiques (virus, vers3 ou spyware4). nateur dispose de 65 536 ports.Ce logiciel surveille et analyse régulièrement l’en-semble des fichiers puis filtre les contenus suspects. Ces « entrées » sont autant de possibilités de péné-Une fois l’anomalie détectée, il vous en informe et trer dans le système d’information de l’entreprise.la détruit. Si bien qu’en l’absence de pare-feu, des pirates in- formatiques ont tout loisir d’infecter ou de détruireLa plupart des logiciels antivirus intègrent égale- les données d’un ordinateur (virus, vers) ou de ré-ment une protection antispam qui permet d’analy- cupérer des informations via un cheval de Troie5.ser l’ensemble des messages entrants avant qu’ilsne soient délivrés au destinataire. ‹ Comment fonctionne t-il ? Un pare-feu joue un rôle de douanier vis-à-vis des‹ Comment fonctionne t-il ? ports. Il contrôle les flux de données entrant et sor-L’antivirus fonctionne à partir d’une base d’emprein- tant de l’ordinateur ou du réseau de l’entreprise.tes de virus connus ou d’un système d’intelligence Il est très fréquent qu’un logiciel professionnelartificielle détectant les anomalies. C’est pourquoi, ait besoin d’accéder à un serveur extérieur à l’en-pour une efficacité optimale, il est indispensable de treprise pour effectuer des mises à jour. Il lui fautle mettre à jour régulièrement (aussi bien la base alors communiquer par un canal spécifique (portd’empreintes que l’application elle-même). de communication), à la fois pour émettre des données (port sortant) mais aussi pour en recevoirDeux fonctionnements sont envisageables pour (port entrant). Les règles de filtrages doivent doncl’antivirus : autoriser ces ports de communication pour per-  La réparation des anomalies du ou des fichiers mettre au logiciel de télécharger la mise à jour. infectés. Dans ce cas, les données du fichier sont récupérées et le virus détruit. Il existe deux catégories de pare-feu :  Le pare-feu personnel est un logiciel installé  La mise en quarantaine du fichier infecté pour l’iso- sur les postes informatiques permettant de ler de l’environnement informatique et en limiter protéger uniquement le système sur lequel il sa propagation et ses effets. L’utilisateur peut accé- est installé. Windows, par exemple, en compor- der aux fichiers mis en quarantaine via l’interface te un par défaut. graphique de l’antivirus d’où il peut les supprimer ou les restaurer à leurs emplacements d’origine.  Le pare-feu réseau se présente sous forme de boîtier placé entre un accès externe et un réseau3 Vers : virus se propageant de manière autonome dans l’ordinateur d’entreprise.et de nouvelles machines.4 Spyware : petit programme informatique conçu dans le but de 5 Parfois appelés trojans, ces programmes malicieux créent unecollecter des données personnelles sur ses utilisateurs et de les brèche dans le système d’information de l’entreprise afin de per-envoyer à son concepteur ou à un tiers via Internet ou tout autre mettre une prise en main à distance d’un ordinateur par un pirateréseau informatique. informatique. – 12 –
  13. 13. Principe de fonctionnement d’un pare-feu réseau Réseau privé sécurisé Réseau public Pare-feu Internet ServeurLe mode de fonctionnement reste similaire pour  Le titulaire du certificat (nom, prénom, service, fonc-les deux types de pare-feux. tion) et son entreprise (dénomination, n° Siren). Remarque : 2.2. Comment s’en procurer ? Le certificat électronique est délivré pour une durée Attention, le pare-feu reste néanmoins insuffi- déterminée par une Autorité de Certification qui sant puisqu’il ne protège pas contre les virus pro- joue le rôle de Tiers de confiance. Cet organisme venant de périphériques amovibles (clé USB). garantit l’identité de la personne et l’usage des clés par une personne qui en est la seule propriétaire. De plus, elle atteste de l’exactitude des informa-Certaines offres logicielles proposent des solu- tions contenues dans le certificat.tions complètes (antivirus, antispam et pare-feu) La liste des autorités de certification référencées paret parfaitement intégrées à l’environnement infor- l’Etat est disponible sur le site du ministère de l’Eco-matique des entreprises. nomie, de l’Industrie et de l’Emploi. Aller dans « re- cherche » et taper « Certificats référencés PRIS v1 »2. Sécuriser les échanges de 2.3. Comment ça marche ?données Lorsque les données transitent, elles sont cryptées. Le certificat électronique fonctionne selon un prin-Dès lors que vous souhaitez sécuriser l’envoi d’in- cipe de clé : l’émetteur et le récepteur des donnéesformations ou l’accès à distance aux données de disposent chacun d’une clé publique6, servant aul’entreprise, il est recommandé de crypter les in- chiffrement du message, et d’une clé privée7, ser-formations lors de leur transit. Pour ce faire, on uti- vant à déchiffrer le message.lise couramment un certificat électronique. Le certificat numérique consiste à déterminer si une clé publique appartient réellement à son dé-2.1. Qu’est ce que c’est ? tenteur supposé. Il peut être stocké sur un supportLe certificat électronique est une carte d’identité nu- logiciel ou matériel (une carte à puce à insérermérique permettant de garantir l’intégrité des informa- dans un lecteur de carte ou une clé USB).tions et documents transmis et de s’assurer de l’identité Le support matériel reste le plus sûr car le certificatde l’émetteur et du récepteur de ces données. et la clé privée ne sont pas stockés sur un disqueIl contient des informations sur : dur d’un ordinateur mais sur un support que vous  L’autorité de certification qui a émis le certificat pouvez conserver en lieu sûr.  Le certificat électronique (validité, longueur des 6 La clé publique est publiée dans des annuaires publics. clefs,…) 7 La clé privée est connue uniquement par son propriétaire. – 13 –
  14. 14. Ceci présente de nombreux avantages: Les données qui transitent sont chiffrées grâce à  Il est impossible de réaliser une copie de la une technique de « tunnel » et donc inaccessibles carte ou de la clé USB. aux autres internautes. Ce cryptage est rendu pos-  Ce support est plus économique car il est ac- sible grâce à un certificat électronique8. cepté par toutes les téléprocédures des autori- Celui-ci fonctionne comme un passeport. Il doit être tés administratives. présent à la fois du côté de l’ordinateur distant qui  Il facilite la mobilité car utilisable depuis plu- tente d’accéder aux fichiers de l’entreprise et du sieurs postes de travail. côté du serveur.2.4. Ses usages Chaque certificat dispose d’une clef publique et d’une clef privée. Lorsque l’ordinateur distant tenteLe certificat électronique est de plus en plus uti- d’accéder aux fichiers, il envoie sa clef publique aulisé, notamment dans le cadre des téléprocédures serveur. Si celui-ci reconnaît le certificat de l’ordina-administratives (TéléTVA, télécarte grise…). teur distant, il envoie également sa clef publique.Voici deux autres types d’usages en entreprise : La connexion VPN est alors établie (le tunnel est créé), les données qui transitent entre les deux parties sont‹ La signature électronique chiffrées et déchiffrées grâce aux certificats.Elle possède la même valeur juridique et la mêmefonction qu’une signature manuscrite. Une dif- 3. Pour aller plus loinférence notable les distingue cependant : alorsqu’une signature manuscrite peut être facilement ‹ Guide de vulgarisation « Les virus informati-imitée, une signature numérique est pratiquement ques démystifiés »infalsifiable. La loi accorde d’ailleurs un statut Il explique les virus, les dommages qu’ils peuventparticulier à la signature électronique (cf articles causer et les méthodes pour les éviter.1316-1 à 1316-4 du code civil). http://www.sophos.fr/sophos/docs/fra/comviru/La clé privée permet de signer et la clé publique viru_bfr.pdfde vérifier cette signature. La signature électroni-que n’est pas visuelle mais est représentée par une ‹ Dématériel.comsuite de nombres. http://www.demateriel.comPlusieurs logiciels (suite bureautique) supportentdes outils de signature électronique. ‹ Comment ça marche : Rubrique Dossiers /Sé- curité/Cryptographie‹ Le VPNUn VPN (Virtual Private Network) permet d’accéder à la http://www.commentcamarche.nettotalité des fichiers d’une entreprise en toute sécurité.Il donne accès au réseau local d’une entreprise à 8 Il est possible d’utiliser un VPN sans certificat électronique mais ce n’est pas recommandé pour des raisons de sécuritédistance via une connexion Internet sécurisée. Accès au serveur de fichiers à distance grâce à un VPN VPN VPN Routeur équipé de la fonction VPN Serveur de INTERNET l’entreprise VPN Serveur VPN Ordinateur distant et son certificat Serveur de fichiers Routeur Serveur de l’entreprise – 14 –
  15. 15. Sécuriser son SI lors des déplacements professionnels Sur un salon, un de nos collaborateurs n’a paspris garde qu’on lui dérobait sa clé USB pendant qu’ildiscutait avec un client. Or celle-ci contenait la liste Voici les points clés à retenir :de ses prospects.  Eviter de divulguer oralement ou par écrit des infor- mations stratégiques dans les lieux publics (hôtels, salons, congrès, …) et les transports en commun.  Rester discret sur les projets de l’entreprise en-Travailler en dehors de l’entreprise est aujourd’hui vers les prospects, les clients, les fournisseurs etfacilité par une pléiade d’outils et d’applications. plus généralement dès que l’on se trouve en de-Désormais, il est possible se connecter à Inter- hors de l’entreprise.net presque partout sans fil, de transporter dans  Ne pas se déplacer à l’extérieur de l’entreprisesa poche des centaines de documents ou encore avec des documents confidentiels. Au besoin, uti-d’envoyer un contrat via un téléphone. liser une clé USB ou des accès VPN (Virtual PrivateCes « outils de la mobilité » engendrent toutefois Network) sécurisés.de nouveaux risques pour le système d’informa-  Garder toujours en sa possession les périphériques detion de l’entreprise, les plus courants restant le vol stockage amovible (disques durs externes, clés USB).et la perte d’un matériel contenant des données  Ne jamais laisser sans surveillance du matérielimportantes (clé USB, smartphone, ordinateur (ordinateur portable, téléphone portable, agen-portable). Des règles de sécurité s’imposent donc da, carte de visite client et fournisseur) ou despour utiliser ces outils sans danger. documents professionnels.Cette fiche pratique fournit des conseils pratiquessur les règles de vigilances pour utiliser les outilsde la mobilité au cours de déplacements profes- Sommairesionnels. 1 - Une attitude vigilante 2 - Protection des accès aux donnéesAvertissement : cette fiche est le fruit d’un travail 3 - Utiliser les réseaux sans fil avec prudencede vulgarisation et comporte par conséquent une 4 - Pour aller plus loininformation générale et non exhaustive. Elle nesaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 15 –
  16. 16. 1. Une attitude vigilante  Crypter les données du disque dur des ordina- teurs portables.Pendant vos déplacements, il convient de restervigilant et d’observer quelques principes :  Privilégier l’utilisation de supports amovibles  Etre attentif aux personnes qui vous entourent cryptés et facilement transportables (comme et à leurs actions. une clé USB) pour emporter l’ensemble des do- cuments confidentiels. Se méfier des comportements trop amicaux. Rester en permanence en pleine possession de Remarque : ses capacités d’attention (l’alcool est à proscri- re). Vous risquez sinon de dévoiler des informa- Dans certains pays (USA, Israël, Chine…), des tions sensibles malgré vous. informations confidentielles peuvent être de- mandées et les disques durs contrôlés par le Se méfier d’une question trop ciblée : les ré- service de sécurité dans le cadre de la politique ponses mises en commun peuvent dévoiler de défense des services de l’Etat. C’est pourquoi des informations stratégiques. un cryptage des données n’est pas superflu. Savoir répondre habilement aux questions de manière à ne pas fournir d’informations straté- 3. Utiliser les réseaux sans fil avec giques sur votre entreprise. prudence Sur un salon professionnel, ne jamais être seul sur un stand. 3.1. Pour se connecter à Internet Ne jamais laisser d’informations confidentielles De plus en plus de lieux publics sont dans le coffre-fort d’une chambre d’hôtel, une équipés de Wifi via des hotspots. Cette soute à bagages ou encore les vestiaires d’un technologie permet de se connecter à restaurant. Internet facilement mais présente des risques de vols de données. Travailler sur des documents non confidentiels pendant vos déplacements. Voici quelques conseils pour utiliser le Wifi serei- nement : Ne pas discuter au téléphone d’informations stratégiques.  Utiliser des réseaux Wifi équipés de clés de cryptage (WPA).2. Protection des accès aux  Désactiver par défaut les fonctions de liaisondonnées sans fil Wifi si vous n’en avez pas l’utilité.  S’assurer que les procédures de sécurité inté-Si, malgré votre vigilance, votre matériel est volé ou grées sont activées (méthode d’authentifica-perdu, veillez à verrouillez l’accès à vos données. tion et de chiffrement) et permettent l’identifi-Plusieurs possibilités s’offrent à vous : cation des équipements par un certificat.  Mettre en place un dispositif d’authentification de l’utilisateur lors de la mise en marche des  Mettre à jour les logiciels des équipements ordinateurs portables (mot de passe ou sys- Wifi. Ils peuvent être téléchargés sur le site du tème de reconnaissance biométrique comme constructeur de votre périphérique (ordinateur l’empreinte digitale). portable, PDA, …) avant tout déplacement. – 16 –
  17. 17. D’une manière générale, privilégiez l’utilisation Restez vigilant quand vous emportez des docu-d’une clé 3G+ sécurisée (Internet par le réseau de ments professionnels accessibles depuis votretéléphonie portable) pour accéder à Internet. téléphone portable car il est beaucoup plus facile- ment perdu ou volé. De plus, il existe des systèmes d’interception des3.2. Pour échanger des documents appels via des logiciels disponibles sur Internet qui permettent de mettre sur écoute une communica- La technologie Bluetooth est un tion téléphonique à distance. système de communication ra-dio de faible portée (10 à 15 mètres) qui permetles échanges de voix et de données entre équipe- 4. Pour aller plus loinments numériques. Pratique et facile d’utilisation,il est très facile de s’y connecter. ‹ Les guides des Conseillers du Commerce Exté- rieur :C’est pourquoi il mérite une configuration adé- Veiller futé à l’international, 2ème tome - Le savoir-quate : faire des CCE - Mai 2009  Ne pas laisser actif le Bluetooth en permanen- http://www.cnccef.org ce sur vos appareils. ‹ Guide des bonnes pratiques en matière d’in- Limiter les échanges de données en refusant telligence économique les fichiers de personnes inconnues. Préfecture de la région Franche-Comté et Préfec- ture du Doubs. Ne pas installer de programmes provenant du réseau Bluetooth (ceux-ci peuvent être un vi- http://franche-comte.cci.fr/crci/biblio/doc/Gui- rus ou un programme malveillant). debonnes pratiques IE.pdf Paramétrer l’accessibilité du Bluetooth en ‹ Guide bonnes pratiques en matière d’Intelli- mode non détectable (seules les personnes à gence Economique qui vous avez transmis l’identifiant de votre ap- Chambre Régionale de Commerce et d’Industrie pareil pourront communiquer avec vous). de Lorraine. http://www.lorraine.cci.fr/download/pdf/guide_ Appliquer les dernières mises à jour de sécurité. ie.pdf3.3. Pour téléphoner ‹ Guide de sensibilisation à la sécurisation du système d’information et du patrimoine infor-Le faible niveau de sécurité des téléphones GSM mationnel de l’entrepriseet des PDA ainsi que leur totale traçabilité doivent MEDEFêtre pris en compte par les utilisateurs. http://www.cyber.ccip.fr/pdf/medefsecusi.pdf – 17 –
  18. 18. Gérer le courrier électronique indésirable Chaque jour, les collaborateurs perdent dutemps à faire le tri entre les messages électroniquessollicités et les spams. Les gains de productivité de Voici les points clés à retenir :la communication par email s’amoindrissent de plusen plus.  Utiliser un anti-spam  Se méfier des adresses électroniques d’expéditeursLe courrier électronique est aujourd’hui largement inconnus et ne pas ouvrir les courriers électroni-utilisé dans les entreprises. Le nombre croissant ques douteux (sujet du message sans intérêt).d’emails publicitaires ou malveillants rend néan-  Ne pas diffuser son adresse électronique àmoins sa gestion problématique. n’importe qui ou sur un site internet où elleCes courriers électroniques non sollicités portent peut être récupérée très facilement.le nom de spams ou pourriels. Ils représententprès de 50% du trafic quotidien d’emails.  Paramétrer la messagerie électronique pour désactiver l’ouverture automatique des piècesCette fiche vous aidera à mieux gérer et sécuriser jointes et des images.votre messagerie électronique.  Sensibiliser le personnel aux risques : virus, phishing…  Ne jamais répondre à un spam. Sommaire 1 – Le spam, qu’est ce que c’est ? 2 – Les impacts du spamAvertissement : cette fiche est le fruit d’un travail 3 – Comment se protéger contre le spam ?de vulgarisation et comporte par conséquent uneinformation générale et non exhaustive. Elle ne 4 – Pour aller plus loinsaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 18 –
  19. 19. 1. Le spam, qu’est-ce que c’est ?  Ne pas cliquer sur les liens contenus dans les courriers électroniques : les liens affichés peuvent en réalité vous diriger vers des sites frauduleux.1.1. Origine du mot  Utiliser les filtres du navigateur Internet contre le phishing. La plupart des navigateurs propo-A l’origine, « SPAM » est la marque déposée d’une sent une fonction d’alerte contre le spam, fonc-conserve de jambon épicée « SPiced hAM », tion régulièrement mise à jour.consommée en très grande quantité par les amé-ricains lors de la seconde guerre mondiale et re-devenue populaire grâce aux Monthy Pythons en 2. Les impacts du spam1970.  La saturation du réseau ou des serveurs deEn 1994, un internaute excédé utilise ce terme messagerie de l’entreprise.pour la 1ère fois sur Internet pour dénoncer la pre-mière pratique de SPAM de l’histoire.  Des risques de blocage de l’adresse IP de l’en- treprise par les fournisseurs d’accès Internet si l’adresse de l’entreprise est usurpée par un1.2. Principe spammeur.Le spam consiste à envoyer massivement desemails non sollicités à des fins marchandes (vente  Le gaspillage de la bande passante et de l’es-de médicaments par exemple) ou malveillantes pace de stockage des utilisateurs.(récupération d’adresse emails valides, propaga-tion de virus). Ce type de courrier électronique  La dégradation de l’image de l’entreprise sin’est généralement pas ciblé mais envoyé à une l’adresse de l’entreprise est usurpée par unmultitude de destinataires par l’intermédiaire de spammeur.serveurs automatisés.  La perte de productivité des employés qui risquent de surcroit de passer à coté d’emails1.3. Exemple de spam très répandu : importants.le phishing‹ Qu’est-ce-que c’est ?Le phishing ou hammeçonnage est l’association 3. Comment se protéger contred’un e-mail non sollicité (spam) avec un lien vers le spam?un site internet illégal reproduisant l’allure visuel-le d’un site commercial et incitant l’internaute à yinscrire des informations personnelles. 3.1. Eviter d’être spamméCe type de spam, très construit et ciblé, est utilisé  Ne jamais répondre à un message dont l’objetpar des personnes malveillantes dans le but d’ob- ou l’expéditeur est douteux.tenir notamment des informations bancaires etd’effectuer des paiements frauduleux.  Ne pas diffuser son adresse sur le web (dans des forums ou des sites par exemple).‹ Comment se protéger du phishing ? Ne jamais envoyer par mail des informations  Créer une ou plusieurs « adresses poubelles » confidentielles (mot de passe, numéro de carte servant uniquement à vous inscrire ou vous de crédit…) identifier sur les sites jugés dignes de confiance. Être vigilant lorsqu’un e-mail demande des ac-  Sur son site Internet, crypter les adresses de la tions urgentes. page contact. – 19 –
  20. 20.  Paramétrer la messagerie électronique pour Dans ce dernier cas, les messages sont redirigés désactiver l’ouverture automatique des pièces vers une société qui filtre les messages entrants jointes et des images. Dans la mesure du pos- avant de les transmettre au serveur de messa- sible, désactiver la fonction de prévisualisation gerie de l’entreprise. systématique des images contenues dans les courriers électroniques.  Au-delà de 500 postes informatiques, l’entrepri- se a intérêt à investir dans un boîtier anti-spam. Ne pas ouvrir les pièces jointes de messages Cet outil analyse et filtre les messages avant douteux. qu’ils n’arrivent au serveur de messagerie. Ne jamais ouvrir une pièce jointe avec l’exten- ‹ Les méthodes de filtres anti-spam sion .exe ou .src, car ce sont des fichiers exécu- Ces logiciels utilisent une ou plusieurs des métho- tables pouvant infecter l’ordinateur. des de filtrage suivantes.  Le filtrage par mot clé permet d’effectuer un3.2. Mettre en place un anti spam blocage des emails contenant certains mots répertoriés dans un dictionnaire de détection.‹ Les logiciels Toutefois, il est très facile pour le spammeur deIl existe différents types de logiciels anti-spam. contourner cette technique.Vous pouvez en choisir un seul ou en cumulerplusieurs. Pour les entreprises possédant moins  Le filtrage par analyse lexicale (bayésien)de 500 postes informatiques, 3 types d’outils sont consiste à rechercher des mots clés associés à unconseillés : système de pondération. Difficile à contourner,  Les outils clients : il s’agit de logiciels installés il tient compte de l’ensemble du message, est sur chaque poste informatique. multilingue et utilise l’intelligence artificielle. Les outils serveurs : les messages reçus sont  Le filtrage heuristique consiste à analyser le filtrés dès leur arrivée dans le serveur de mes- contenu des messages en vérifiant la présence sagerie avant d’être remis au destinataire. de forme et de code (HTML dans le corps du message, mots écrits uniquement avec des let- Les solutions hébergées : dans ce cas, l’ana- tres majuscules ; mots clés correspondants à des lyse anti-spam intervient avant que le message produits souvent vantés au travers du Spam, très n’arrive dans le serveur de messagerie. Le fil- grand nombre de destinataires…). Cette techni- trage peut être réalisé par le fournisseur d’ac- que vérifie beaucoup de règles mais elle néces- cès ou par une analyse anti-spam externalisée. site une maintenance importante. Principe de fonctionnement d’un logiciel anti-spam hébergé Stockage temporaire Email de spam Logiciel/serveur anti-spam Utilisateur – 20 –
  21. 21.  Le filtrage d’image permet d’analyser les ima- Afin d’assurer une protection minimale, un outil ges contenues dans les messages. anti-spam réellement fonctionnel et performant doit utiliser au moins deux méthodes de filtrage.  Le filtrage par signature électronique génère Le test de Turing et le filtrage par analyse lexicale une signature pour chaque email ou pièce join- restent les deux solutions anti-spam les plus évo- te reçue puis les compare à des messages de luées actuellement. spam qui ont une signature connue. La signa- ture électronique permet de certifier que vous êtes bien l’expéditeur du message et qu’il n’a 4. Pour aller plus loin pas subi de modification. ‹ Cases Luxembourg : Portail de la sécurité de  Le filtrage d’URL permet de vérifier des liens l’information hypertextes contenus dans les messages géné- Ce site a pour objectif de développer un réseau ralement répertoriés sur des listes noires9. Pour opérant dans le domaine de la prévention et de contourner ce filtrage, le spammeur peut choisir la protection des systèmes d’information et de la de dissimuler le lien hypertexte. communication. Il veille à la promotion des outils de protection informatique.  Le filtrage par détection humaine, appelé Plusieurs fiches pratiques traitent des différents test de Turing, consiste à vérifier si l’émetteur types de spams qui existent. du courrier électronique est un humain ou un http://www.cases.public.lu robot. Pour ce faire, on va demander à l’expé- diteur du courrier de faire une action qu’un ‹ Signal Spam robot ne sait pas faire : par exemple, recopier Ce site regroupe la plupart des organisations fran- les lettres d’une image (exemple ci-dessous). çaises concernées par la lutte contre le spam, qu’il Si le courrier n’est pas accepté, il est n’est pas s’agisse des pouvoirs publics ou des professionnels envoyé au destinataire. de l’Internet. Il a pour objet de fédérer les efforts de tous pour lutter contre le fléau du spam. Exemple de CAPTCHA10 : recopier le mot http://www.signal-spam.fr lu sur l’image ‹ Internet-signalement Portail officiel de signalement des contenus illici- tes de l’Internet. https://www.internet-signalement.gouv.fr9 Les listes noires (ou blacklist) sont des listes où figurent un ensem-ble d’adresses de serveurs identifiés comme « mauvais expéditeurs »et dont on refuse de recevoir les messages.10 CAPTCHA : Système de contrôle d’accès aux sites Internet. – 21 –
  22. 22. Comment sauvegarder vos données numériques ? Un incendie s’est déclaré pendant la nuit dansle local où était stocké notre serveur. Malheureuse-ment, c’était aussi dans cette pièce que nous entre- Voici les points clés à retenir :posions les supports de sauvegarde.  Définir une fréquence de sauvegarde adaptée à l’importance des données.  Stocker les supports de sauvegarde dans un lieu sécurisé (armoire ignifugée étanche, coffreLa sauvegarde informatique est en quelque sorte fort, site externe).l’assurance vie du capital informationnel de l’en-  Installer les serveurs dans un local fermé à clé.treprise. Elle permet de restaurer des données  Vérifier régulièrement le bon fonctionnementperdues ou altérées et participe ainsi à garantir la des dispositifs et procédures de sauvegarde.continuité de l’activité.  Transporter régulièrement des copies de sau-C’est pourquoi la sauvegarde des données nu- vegarde en dehors de l’entreprise.mériques nécessite une gestion méthodique etcontrôlée. Si possible :  Aménager un site de secours pour les applica-Cette fiche pratique vous aidera à : tions vitales.  Elaborer un plan de sauvegarde adapté à votre  Dupliquer les sauvegardes et répartir les infor- entreprise. mations sensibles sur plusieurs supports.  Adopter les bons réflexes pour conserver vos données numériques. Sommaire 1 - Etablir un état des lieux des données à sauvegarder 2 - Choisir le type de sauvegarde 3 - Choisir la fréquence des sauvegardesAvertissement : cette fiche est le fruit d’un travail 4 - Choisir le support de sauvegardede vulgarisation et comporte par conséquent une 5 - Tester l’intégrité des donnéesinformation générale et non exhaustive. Elle ne 6 - Pour aller plus loinsaurait engager la responsabilité de l’éditeur (Di-reccte, ENE) et de ses diffuseurs. – 22 –
  23. 23. 1. Etablir un état des lieux des 2.3. Sauvegarde différentielledonnées à sauvegarder Elle permet de sauvegarder toutes les informations modifiées ou ajoutées depuis la dernière sauvegardeIl s’agit, dans un premier temps, de faire l’inven- complète.taire des données de l’entreprise : fichiers, base dedonnées, emails, etc. Puis, les informations straté- Avantages Inconvénientsgiques devront être identifiées car une attention - Sauvegarde plus ra- - Prend plus de temps queparticulière devra leur être portée en matière de pide que la sauvegarde la sauvegarde incrémentale.fréquence et de support de sauvegarde. complète. - Plus coûteuse en espace de - Données moins volumi- stockage. neuses. - Pas de rémanence (neEnfin, il convient de distinguer les données héber- - Plus fiable que la sauve- restaure que le dernier étatgées par l’entreprise et celles hébergées par un garde incrémentale. d’un fichier).tiers. Dans le cas où le stockage des informationsest à la charge d’un prestataire informatique (ex :pages d’un site Internet), vérifiez les conditions 3. Choisir la fréquence desd’hébergement et de sauvegarde des données. sauvegardes La périodicité et la durée des sauvegardes dépen-2. Choisir le type de sauvegarde dent de plusieurs facteurs :  Le volume de données.  La vitesse d’évolution des données.2.1. Sauvegarde complète  La quantité d’information que l’on accepte de perdre.Elle permet de réaliser une copie conforme des  Eventuellement, la durée légale de conserva-données à sauvegarder sur un support de sauve- tion de l’information (ex : facture).garde séparé. C’est pourquoi, selon les entreprises, la stratégie Avantages Inconvénients de sauvegarde sera différente. Sauvegarde très sûre, plus Problème de lenteur et de précise et plus simple pour temps en cas d’importants Voici un exemple de stratégie de sauvegarde : restaurer les données sans volumes de données à erreur. sauvegarder. Fréquence de sauvegarde: • Une sauvegarde complète dans la nuit du ven- dredi au samedi pour ne pas gêner l’activité de2.2. Sauvegarde au fil de l’eau : l’entreprise.sauvegarde incrémentale • Une sauvegarde incrémentale les autres nuits. • Une sauvegarde système (serveurs et applica-Elle se limite uniquement aux informations modi- tions de production) une fois par mois.fiées ou ajoutées depuis la dernière sauvegarde. • Le support de sauvegarde journalière du lun- di au jeudi est doublé et utilisé par alternance toutes les deux semaines. Avantages Inconvénients - Sauvegarde plus per- Le temps d’analyse des Délai de conservation des sauvegardes : formante et plus rapide modifications. • Le support du vendredi est conservé 1 mois des dernières modifica- Le risque lors de la restau- comme sauvegarde hebdomadaire. tions qu’une sauvegarde ration des données11. • Le support du dernier vendredi du mois est complète. - Espace de stockage plus conservé 1 an comme sauvegarde mensuelle. faible. • Le support du dernier vendredi de l’année est conservé sans limitation de durée comme sau- Restauration de données : action de régénérer des données per-11 vegarde annuelle.dues ou altérées. – 23 –
  24. 24. Des sauvegardes spécifiques peuvent être réa- Par ailleurs, il est possible de configurer le serveurlisées en parallèle pour des données sensibles pour que l’espace dédié à la sauvegarde soit une co-comme les données financières de l’entreprise et pie exacte en temps réel du disque dur principal.conservées suivant les obligations légales (s’assu-rer que les applications ayant générées ces don- Remarque :nées soient également accessibles). Il est nécessaire de veiller à bien sécuriser le local dédié aux supports de sauvegarde. Dans4. Choisir le support de l’idéal, il est préférable de les stocker en dehorssauvegarde de l’entreprise.4.1. Sauvegarde en interne 4.2. Sauvegarde à distance‹ Sur des supports de petit volume de stocka- Elle consiste à sous-traiter la sauvegarde des don-ge (DVD, clé USB, disque dur externe) nées à un prestataire spécialisé dans l’héberge-Pour les opérations quotidiennes, utiliser le disque ment. Cette solution offre l’avantage de ne plusdur externe est simple, rapide et fiable. Si votre avoir à gérer le support physique des sauvegar-entreprise possède seulement quelques postes des ou la charge de travail associée, car ils sontinformatiques, vous pouvez programmer les sau- externalisés via un réseau haut débit.vegardes directement sur votre ordinateur. Toutefois, des risques associés à de mauvaisesCe type de sauvegarde est préconisé pour des quan- sauvegardes subsistent. Il est d’ailleurs nécessairetités d´information assez faibles. Le principe consiste de bien définir les données à sauvegarder, leur di-à sélectionner les fichiers à sauvegarder poste par mensionnement et s’assurer que les sauvegardesposte puis de procéder à leur sauvegarde. sont bien réalisées.‹ Sur des bandes magnétiques ou cartouches Par ailleurs, le choix d’une solution de sauvegardenumériques12 à distance doit être associé à une lecture attentiveCes supports sont utilisés pour la sauvegarde de des contrats de service. Il convient de s’assurerdonnées stockées sur un serveur. Ils s’utilisent qu’en cas de problème, la prestation soit efficace.avec une application dédiée qui programme, gère Il est d’ailleurs intéressant de procéder à un testet teste les enregistrements. préalable afin de voir concrètement les fonctionna- lités et performances de cette solution. Il est égale-Les coûts matériels sont relativement faibles. En re- ment recommandé de vérifier la santé financière devanche, les sauvegardes réalisées ne se faisant pas ce prestataire stratégique et la présence d’un cryp-toujours en temps réel, il y a un risque de perte de tage des données sauvegardées par ses soins.d’information. Par ailleurs, la restauration de donnéesnécessite également des compétences techniques. 5. Tester l’intégrité des données‹ Sur le serveur du réseau interne de l’entrepriseIl s’agit de réserver un espace dédié à la sauvegar- Afin de s’assurer du bon fonctionnement des sau-de sur le disque dur du serveur. vegardes, des tests réguliers d’intégrité et de res-Toutefois, préférez les modèles proposant une tauration des données doivent être réalisés pourversion amovible de ce disque dur de secours afin détecter d’éventuelles anomalies (erreur d’appli-d’éviter qu’en cas de sinistre, le serveur et sa sau- cation ou support saturé).vegarde ne soient détruits. Le test de restauration consiste à simuler un sinis- tre et à utiliser des sauvegardes pour que l’entre-12 Cartouche numérique : bandes magnétiques intégrées dans un boî- prise puisse reprendre son activité.tier plastique et moins volumineux que la bande magnétique. – 24 –
  25. 25. Une vérification partielle permet de tester uni- Il doit ainsi garantir la continuité de la disponibilitéquement les fichiers les plus importants alors des données et des activités de l’entreprise.qu’une vérification complète permet de tester Il consiste principalement à prioriser les ressourcesl’ensemble des fichiers. informationnelles à restaurer (messagerie, documents internes…). Le plan de sauvegarde doit être approuvé par la di-6. Pour aller plus loin rection et testé périodiquement (au moins une fois par an) afin de s’assurer de son bon fonctionnement.6.1. Le plan de sauvegarde 6.2. BibliographieLe plan de sauvegarde permet d’organiser la res- ‹ Les dossiers du numérique n°3 - La sécurisa-tauration des données en cas de sinistre. Ce do- tion du système d’information de l’entreprisecument formel est utilisé au cas où plus rien ne Rhône Alpes Numériquefonctionne. www.agencenumerique.com – 25 –
  26. 26. Les droits et obligations du chef d’entreprise en matière de SSI Nous avons envoyé un e-mailing pour faireconnaître notre nouveau produit à une liste decontacts fournie gracieusement par un partenaire. Voici les points clés à retenir :L’un des destinataires, mécontent de recevoir notrepublicité, nous a menacés de porter plainte.  Prévoir des moyens de traçabilité et de conser- vation des connexions au réseau.  Informer les salariés de leurs droits et obligationsAujourd’hui, tous les chefs d’entreprises sont soumis au moyen d’une charte informatique pertinente.à diverses réglementations. Ces obligations valent  Organiser une surveillance du réseau informa-également en matière de sécurité informatique. tique de l’entreprise en respectant les droitsIls doivent donc être en mesure de respecter et des salariés.de faire respecter certaines obligations légales au  Mettre l’entreprise en conformité avec la législa-sein de l’entreprise pour éviter que leur responsa- tion relative à la protection des données à carac-bilité civile et/ou pénale13 et celle de leur entre- tère personnel.prise ne soit engagée, y compris en cas de négli-  Vérifier périodiquement la validité des licencesgence de leur part. logicielles pour éviter toute contrefaçon.En contrepartie, ce cadre juridique permet aux en-treprises de se défendre en cas d’attaque sur leur Avertissement : cette fiche est le fruit d’un travailsystème d’information ou de négligence interne. de vulgarisation et comporte par conséquent une information générale et non exhaustive. Elle neCette fiche pratique vous présentera les principa- saurait engager la responsabilité de l’éditeur (Di-les dispositions juridiques à appliquer en matière reccte, ENE) et de ses diffuseurs.de sécurité informatique.La présente fiche a été établie avec la collaboration Sommairede Me Raphaël Peuchot, avocat au Barreau de Lyon. 1 – Les obligations légales13 La responsabilité civile : l’employeur est civilement responsablede fait de l’activité de ses employés, notamment en cas d’utilisation 2 – Les droitsmalveillante des moyens informatiques et de communication élec-tronique au préjudice des tiers. 3 – Pour aller plus loinLa responsabilité pénale : l’employeur peut être pénalement res-ponsable de son propre fait et l’entreprise du fait des agissementsdes employés dès lors qu’ils commettent des infractions suscepti-bles d’engager la responsabilité pénale des personnes morales. – 26 –
  27. 27. 1. Les obligations légales  Ne pas collecter des données sensibles (origi- nes raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenanceVoici les principales obligations qu’une PME doit syndicale, données relatives à la vie sexuelle ourespecter. à la santé).1.1. Le traitement des données à  Fixer une durée de conservation raisonnablecaractère personnel (ou maximale ?) de ces données personnelles.‹ De quoi s’agit-il ?  Protéger et sécuriser l’accès aux fichiers deLes données sont considérées à caractère person- données personnelles.nel dès lors qu’elles concernent des personnesphysiques identifiées directement ou indirecte- En cas de non respect de la loi et de ses obligations,ment. Une personne est identifiée lorsque, par l’entreprise est passible de 5 ans de prison et 300exemple, son nom apparaît dans un fichier et 000 € d’amende (Article 226-16 du Code pénal). Laidentifiable lorsqu’un fichier comporte des infor- divulgation d’informations par imprudence ou né-mations permettant indirectement son identifi- gligence peut être punie de 3 ans de prison et decation (ex. : n° d’immatriculation, adresse IP, n° de 100 000 € d’amende.téléphone, photographie...).En ce sens, toutes les informations dont le recou- ‹ Le responsable du traitement de données per-pement permet d’identifier une personne précise sonnelles(ex : une empreinte digitale, l’ADN, une date de Afin de se protéger de façon optimale en res-naissance associée à une commune de résidence pectant la loi, il est recommandé de désigner un…) constituent également des données à carac- correspondant Informatique et libertés au sein detère personnel. l’entreprise. Cette personne, régulièrement avisée des modifications règlementaires, tient un registreAussi, dès lors que vous diffusez une newsletter, exhaustif de l’ensemble des traitements en coursque vous collectez des informations sur les visi- dans l’entreprise.teurs de votre site Internet ou que votre fichier Ce « correspondant CNIL » est en outre chargé declient est informatisé, vous êtes concerné par la loi sensibiliser les salariés pour éviter que l’entreprise« Informatique et Libertés » du 6 janvier 1978. ne soit mise en cause civilement ou pénalement du fait d’un comportement inapproprié d’un de‹ Les obligations à respecter ses salariés. Recueillir le consentement de la personne pour utiliser une information qui l’identifie. 1.2. Le Secret des correspondances Permettre aux personnes concernées par ces in- formations d’exercer pleinement leurs droits (ac- Le courrier électronique est considéré comme de cès, rectification, suppression) en leur commu- la correspondance privée dont le contenu est, par niquant l’identité de votre entreprise, la finalité nature, accessible uniquement à son destinataire. du fichier, le caractère obligatoire ou facultatif Cependant, les messages électroniques envoyés ou des réponses, les destinataires des informations, reçus sur l’ordinateur de l’entreprise sont présumés l’existence de leurs droits et les transmissions en- être à caractère professionnel, sauf mention expli- visagées des données à un tiers. cite de leur caractère personnel. Sauf risque ou évènement particulier, les messages Ne pas réutiliser ces données de manière in- personnels ne peuvent être ouverts par l’employeur, compatible avec la finalité première du fichier si le salarié n’est pas présent ou dûment appelé. Par (ex : céder des adresses emails à un partenaire contre, l’employeur peut rechercher, même à l’insu sans demander leur avis aux propriétaires de du salarié et hors sa présence, les connexions à des ces adresses). sites internet étrangers à son travail. – 27 –
  28. 28. 1.3. Autres cas Elle permet ainsi de fournir des garanties et de déli- miter les responsabilités de chacun.La responsabilité de l’entreprise peut être enga-gée dans les cas suivants. La charte doit traiter des thématiques suivantes :  L’utilisation malveillante des moyens informa-  Les règles générales d’utilisation du système d’in- tiques et de communication électroniques. formation.  Le téléchargement et la réutilisation de docu-  Le rappel des principaux textes de loi. ments non libres de droits.  Les mesures de sécurité des accès aux applica-  La contrefaçon ou utilisation de copies illicites tions et les conseils de vigilance. de logiciels ou d’œuvres protégées sans autori-  Les règles d’utilisation de la messagerie, d’Internet, etc. sation des titulaires de droits.  Le traitement des infections informatiques (vi-  L’usurpation d’identité par un des salariés au rus…) et le comportement à adopter. préjudice de tiers.  Les moyens de contrôle mis en œuvre et les sanctions encourues en cas de non respect de la charte.2. Les droits Généralement rédigé par le responsable informati- que en collaboration avec la direction des ressour-2.1. Vis-à-vis des actes malveillants ces humaines, ce document doit être diffusé à l’en- semble du personnel dans un but pédagogique etSi votre entreprise est victime de vol ou d’altéra- de sensibilisation.tion de votre système d’information, il existe desrecours. Vous pouvez déposer une plainte pénale Voici un exemple de charte du CNRS:auprès du commissariat de police ou de la gendar- http://www.sg.cnrs.fr/FSD/securite-systemes/do-merie. Les faits y seront précisément exposés, en cumentations_pdf/securite_systemes/Charte.pdfincluant tout détail utile sur l’origine de l’attaqueet les dommages causés.C’est pourquoi il est primordial de ne pas effacer 3. Pour aller plus loinles traces d’une éventuelle infraction et de conser-ver les preuves susceptibles d’aider l’action en jus-tice : logs de connexion, copie de disque dur. ‹ Droit NTIC Ce site propose des informations juridiques et pra-Il est également recommandé de faire appel à un tiques sur les nouvelles technologies et Internet.huissier de justice spécialisé en fraude informati- http://www.droit-ntic.comque pour établir un procès-verbal de constat, puisde décider avec le conseil d’un avocat des actions ‹ CNIL : Commission Nationale de l’Informati-les plus appropriées. que et des LibertésVous pouvez aussi informer le CERTA (Centre d’Ex- Autorité indépendante, créée en 1978, dont la mis-pertise gouvernemental de Réponse et de Traite- sion est de veiller à ce que l’informatique soit aument des Attaques informatiques) ou la DCRI (Di- service du citoyen et qu’elle ne porte atteinte ni àrection Centrale du Renseignement Intérieur). la vie privée, ni aux libertés individuelles publiques ou aux droits de l’homme de manière générale.2.2. Vis-à-vis des salariés http://www.cnil.frEn complément du contrat de travail et du règle- ‹ Ysosecurement intérieur, il est fortement conseillé d’élaborer Ce site permet de comprendre l’intérêt des systèmesune charte de sécurité informatique afin d’organiser de management de la sécurité de l’information, desun bon usage du système d’information par tous. méthodes de gestion des risques ainsi que les bonnesCette charte fixe à l’ensemble du personnel un cadre gé- pratiques pour améliorer la sécurité de l’informationnéral et définit des règles pour l’usage des technologies de votre entreprise.de l’information et de la communication dans l’entreprise. http://www.ysosecure.com – 28 –

×