En 1994, le Russe Vladimir Levin s’introduit dans la base de données de la Citibank et transfère illégalement 10 millions de dollars. Il est le premier cyberpirate à détourner les fonds d’un établissement financier. Depuis, bien d’autres entreprises ont été prises au dépourvu par des hackers avec des conséquences très lourdes, qu’elles soient financières ou consommatrices de temps pour rétablir la situation normale.
Bien que la sécurité de l’information soit assimilée à la sécurité informatique, le challenge à relever est avant tout organisationnel et humain. Selon l’étude mondiale de PwC, les incidents dus aux collaborateurs représentent 35% des incidents totaux liés à la sécurité de l’information.
Voici 7 mesures organisationnelles à appliquer pour réduire ce type de risque.
1 | Créer une charte de sécurité de l’information
Cette charte permet de formaliser la manière dont les documents et les informations de l’entreprise doivent être traités. Elle comprend, entre autres, les règles concernant :
– le transport physique des documents,
– la destruction des documents,
– le cryptage des données,
– la sauvegarde des données.
2 | Établir des règles pour la gestion des mots de passe
Il est indispensable de mettre en place des mots de passe pour sécuriser l’accès à tous vos ordinateurs, applications, serveurs, connexions Wi-Fi, etc.
Afin que vos mots de passe restent solides et utiles, instaurez des règles strictes pour les établir :
– utiliser au minimum 8 caractères,
– utiliser des minuscules ET des majuscules,
– utiliser au moins un caractère spécial,
– changer le mot de passe tous les mois ou trimestres,
– verrouiller le compte après plusieurs échecs de connexion,
– etc.
3 | Sauvegarder vos données
Prémunissez-vous de la perte ou de l’altération de vos données en réalisant régulièrement des backup.
Posez-vous toutefois les questions suivantes :
– Est-ce que je sauvegarde les données nécessaires/adéquates ?
– Devrais-je sauvegarder les données qui se trouvent sur un logiciel online ?
– Puis-je facilement restaurer les données sauvegardées ? Ai-je vérifié que cela fonctionne ?
– La fréquence de sauvegarde est-elle suffisante ?
4 | Former vos employés
De nombreuses failles de sécurité sont dues à des erreurs humaines. Par exemple, un collaborateur qui transmet son mot de passe alors qu’il ne devrait pas ou copie des documents confidentiels sur une clé USB qu’il égare.
Pour éviter ces risques, il est indispensable de former les collaborateurs en communiquant régulièrement les règles et bonnes pratiques issues de la charte.
5 | Gérer les droits d’accès
Windows, Linux et d’autres systèmes d’exploitation ont leur propre gestion des droits d’accès. Pour les implémenter de manière efficiente, identifiez ce dont chaque utilisateur a besoin. Doit-il pouvoir lire, créer, modifier, supprimer, valider ? Et sur quelles données ?
Si vous attribuez des droits trop larges, vous augmentez le risque de mauvaise utilisation et de perte de données. A l’inverse, si les droits sont trop restreints, les utilisateurs seront bloqués dans la réalisation de leurs tâches.
6 | Prévoir un plan de continuité d’activité
Formalisez un plan de continuité. En cas de sinistre important, il permettra de redémarrer l’activité le plus rapidement possible avec le minimum de pertes de données. Afin de vérifier son efficience, il est très important de prévoir des tests réguliers. A la fin de chaque test, un bilan devra être effectué en vue d’identifier de possibles améliorations.
7 | Faire auditer son système
Bien que cette mesure doit idéalement être systématisée, il est important de réaliser, au moins de temps en temps, des audits de sécurité informatique. Cette étape peut être réalisée par un expert externe qui vous apportera une vraie évaluation sur la valeur de votre système de sécurité de l’information. Si l’audit fait apparaître des faiblesses criantes, saisissez les opportunités d’amélioration qui se présentent à vous !
