Echéance janvier 2020 : comment préparer l’après Windows 7 ?
Echéance janvier 2020 : comment préparer l’après Windows 7 ?
23 octobre 2019
Microsoft-PowerApps-ce-que-c'est
Microsoft PowerApps : ce que c’est, à quoi ça sert et à qui ça s’adresse
6 novembre 2019
Voir tout

Les bonnes pratiques pour sécuriser son système d’informations

Les-bonnes-pratiques-pour-securiser-son-SI

Aujourd’hui, les organisations sont confrontées à toutes sortes de menaces, qu’elles soient externes ou internes. A quoi faut-il penser quand on établit un système de sécurité ? Quelles sont les bonnes pratiques pour sécuriser son système d’informations contre les différents types de failles ? Damien Ancian, DSI et directeur technique chez Projetlys, donne quelques conseils sur le sujet 

 

Les différentes failles de sécurité 

« Les organisations ont la nécessité de mettre en place tout un ensemble d’outils pour contrer les différentes menaces, qu’elles soient extérieures ou intérieures à leur structure. Pourtant, trop souvent, elles se focalisent sur les failles provenant de l’extérieur. Trop d’organisations se contentent de mettre en place une défense périmétrique. Celle-ci va permettre de constituer un périmètre de défense pour éviter les intrusions au système d’informations quand un attaquant se trouve à l’extérieur. C’est une très bonne chose, mais il ne faut pas oublier qu’une des premières failles de sécurité, c’est l’être humain. Souvent, la compromission des informations se fait en utilisant une faille sociologique ou psychologique.  

Par exemple, de plus en plus souvent, les menaces proviennent de salariés qui envisagent de quitter la structure, qui sont mécontents. La méconnaissance ou le manque de formation peut aussi jouer. Sans penser à mal, un utilisateur va communiquer ses identifiants et mots de passe à un intervenant extérieur, ou les renseigner sur un site internet non sécurisé. Ce phénomène (phishing) est très répandu dans le grand public également. Les informations de connexion sont communiquées sans méfiance et peuvent ensuite être utilisées par un attaquant extérieur. » explique Damien.  

 

Quelles sont les bonnes pratiques pour sécuriser son système d’informations ?   

Damien développe : « Il faut faire attention à ce que des gens internes à la structure n’aient pas accès à des données qui ne les concernent pas. Ça peut être des données sensibles ou confidentielles. L’équipe IT doit donc faire une distinction entre les données et les protéger en conséquence. Pour illustrer, le menu de la cantine ne sera pas protégé de la même manière qu’un fichier reprenant les salaires.  

Ensuite, il faut tenir compte du facteur humain. La sécurité ne concerne pas uniquement les outils, mais aussi les utilisateurs. Il faut donc les sensibiliser, les former, pour supprimer certains risques. C’est une brique essentielle à intégrer dans son plan de sécurisation.  

Ce plan, qu’il faut considérer comme une véritable stratégie de sécurité, doit forcément inclure des outils qui permettent de sécuriser sa structure au maximum. Pour cela, on peut envisager d’analyser les comportements à risque par exemple. Justement, Microsoft propose une suite de logiciels destinée à la protection contre les attaques à la fois extérieures et intérieures. Elle permet d’analyser et de détecter les failles, de vérifier le niveau de sécurité du SI, de bloquer certaines attaques. C’est une suite très complète pour garder un œil sur différents angles et agir si besoin.  

Enfin, on ne peut pas se contenter de mettre en place une stratégie de sécurité à un instant T sans la remettre en question. En effet, elle doit être en évolution permanente afin d’anticiper les futures menaces. Les hackers cherchent sans cesse de nouvelles façons d’attaquer. Il faut pouvoir y faire face en étant préparé.  

Ces bonnes pratiques permettent de sécuriser son système d’informations de manière réfléchie et donc plus efficace. » 

 

Peut-on obtenir le même niveau de sécurité on-premise et dans le cloud  

« Beaucoup de structures se posent la question…On peut arriver à obtenir le même niveau de sécurité, qu’on soit en infrastructure on-premise ou cloud. La différence se trouve dans les outils et le chemin de mise en place. Ce n’est pas la même approche, si je dois résumer. » conclut le DSI de Projetlys. 

Bannière newsletter cloud et infra - newsletter Projetlys