PROTÉGER LES DONNÉES
Pour assurer la continuité de son activité et protéger son patrimoine informationnel, votre entreprise dispose généralement de moyens de protection.
Pour cela, elle peut par exemple :
Mettre en place un contrôle d'accès et des droits adéquats pour les serveurs de fichiers.
- Fournir des outils de chiffrement sur le poste de travail (chiffrement complet de disque, création d’une partition sécurisée, chiffrement par fichier, clés USB sécurisées, etc.).
- Mettre en place un système de redondance et de sauvegarde sur les serveurs de fichiers
afin d'assurer la disponibilité des informations dans le temps.
Notez que cette liste de moyens n’est pas exhaustive, d’autres protections peuvent être mises en place selon les risques encourus par votre entreprise.
Responsabilités face aux risques
PROTÉGER LA RÉPUTATION
En tant que salarié d’une entreprise, il est de votre devoir de protéger son patrimoine informationnel, mais au-delà de ce point, il est également important de protéger sa réputation et son image.
N’oubliez pas que construire l'image et la réputation d’une entreprise prend beaucoup de temps, mais que cela est très rapide à détruire.
En effet, si un pirate modifie par exemple la page d’accueil de votre site internet, votre image peut en être profondément affectée
VIGILANCE, RESPECT DU MATÉRIEL
Votre entreprise met généralement en place un ensemble de mesures pour éviter les risques les plus basiques (proxy* pour éviter les sites malveillants, antivirus ou sandbox** sur les pièces-jointes des emails, antivirus sur les postes pour éviter la contamination, etc
Cependant, vous devez toujours rester vigilant car ces mesures seules ne suffisent pas face à un attaquant très motivé qui pourra vous atteindre par la ruse.
En tant qu’utilisateur du système d’information de votre entreprise, vous devez être vigilant face aux cyber-risques tels que les tentatives d’hameçonnage, de rançonnage ou de compromission par des virus présents sur les périphériques amovibles par exemple.
Restez conscients que toutes les mesures mises en place par votre société, aussi restrictives soient-elles pour vous, ne protègeront jamais à 100% le système d’information si vous n’êtes pas impliqué dans sa sécurité et si vous ne restez pas vigilant au quotidien.
Au quotidien, il est nécessaire d’avoir une attitude proactive pour éviter les incidents de sécurité.
Si malgré votre vigilance, vous constatiez un incident de sécurité, rappelez-vous que chaque seconde compte pour limiter les conséquences pour votre entreprise.
RÉAGIR
En tant que salarié vous devez signaler toute anomalie dès sa survenue à votre hiérarchie, par tous les moyens et quel que soit le type d’incident : erreur humaine, intrusion physique, violation de compte, etc.
Restez toujours vigilant car le fait de ne pas rapporter rapidement un incident de sécurité peut avoir de lourdes conséquences sur la capacité de votre entreprise à réagir pour en limiter les effets et éviter les ré-occurrences.
Outre le fait de corriger immédiatement une faille ou une anomalie, le signalement de l’incident permettra d’améliorer durablement la sécurité en prévoyant par exemple de nouveaux investissements de matériel ou en révisant les procédures de gestion d’incident en place.
Signaler un incident au plus vite permettra également de vous protéger juridiquement en cas de conséquences graves, par exemple si votre ordinateur est infecté par un virus qui réalise des opérations illicites sous votre identité.
DESTRUCTION DES DOCUMENTS avec « la choucrouteuse »
Notez que si une personne malveillante a ciblé votre entreprise et ne parvient pas à y pénétrer, elle peut essayer de récupérer les informations qu’elle cherche dans les poubelles qui restent le plus souvent accessibles et éloignées de votre vue.
Pour éviter que vos documents confidentiels ne soient compromis, il est recommandé d’utiliser des broyeurs de papier, de préférence en « coupe croisée », pour détruire vos documents avant de les jeter.
MISES À JOUR
Respectez les mesures mises en place par votre entreprise et ne cherchez pas à les contourner.
De même, n'empêchez pas les mises à jour de vos postes de travail et de l'ensemble de votre matériel informatique.
En effet, votre entreprise fait généralement le nécessaire pour que le système et les logiciels se mettent à jour selon ses conditions,
Ne contournez pas ces mises à jour et assurez-vous que ce processus se passe correctement.
Rapportez les éventuels problèmes de mises à jour (mise à jour Windows en échec, mise à jour d'un logiciel nécessitant des droits administrateurs, etc.) à un responsable du support informatique.
VERROUILLAGE DU POSTE DE TRAVAIL
N'oubliez pas que votre poste de travail doit être verrouillé lorsque vous devez vous absenter.
En effet, un visiteur un peu curieux pourrait tenter de s'introduire dans votre machine et pourrait ainsi accéder à vos documents, mais aussi à ceux de votre entreprise si vous êtes connecté sur le réseau.
De même, lors de vos déplacements (train, avion, restaurant, etc.) soyez vigilant à ne pas laisser une personne espionner vos documents ou écouter vos conversations et gardez toujours votre matériel informatique à proximité.
Enfin, n'emportez pas d'informations confidentielles afin d'éviter que celles-ci soient compromises
https://www.ssi.gouv.fr/uploads/IMG/pdf/passeport_voyageurs_anssi.pdf
RESPONSABILITÉS FACE AUX RISQUES
Rappelez-vous que votre ordinateur est une porte ouverte sur le système d'information de l'entreprise.
Afin d'éviter une intrusion incontrôlée et le vol de données confidentielles, vous devez toujours verrouiller votre session en quittant votre poste, même un court instant.
Dans certaines entreprises, des collaborateurs envoient des invitations générales aux croissants lorsqu'une personne laisse son poste en accès libre
L'humour est une bonne méthode de sensibilisation pour démontrer que si le poste de travail n'est pas verrouillé, toutes les autres mesures de sécurité sont caduques puisque l'attaquant a accès aux
documents de l'employé (problème de confidentialité). Il peut les modifier à sa guise et au nom de l'employé (problème d'intégrité, de traçabilité, de non- répudiation). Il peut éventuellement les
supprimer, ainsi que toutes les sauvegardes auxquelles il a accès. Ainsi, chiffrement, contrôle d'accès et classification deviennent (partiellement) inutiles !
MON SITE INTERNET A ÉTÉ MODIFIÉ, QUELS IMPACTS PEUT AVOIR CETTE SITUATION SUR MON ENTREPRISE ?
Cette situation peut affecter la disponibilité de votre site et l'intégrité de ses données. Elle peut également affecter la réputation de votre entreprise et entraîner des pertes financières.
CONCLUSION
Pour conclure, balayons quelques idées reçues car de nombreux utilisateurs pensent que leurs données n’intéressent personne et qu’il est donc inutile de prendre des précautions particulières.
Or, vos données sont de l’or pour les pirates puisqu’elles peuvent être exploitées ou revendues.
Penser que les données sont sécurisées uniquement grâce à l’antivirus de votre ordinateur, alors que dans la pratique on constate souvent qu’un antivirus seul ne suffit pas. Vous devez également être vigilant sur le mode et le lieu de stockage de vos données en fonction de leur criticité
Enfin, une dernière idée à éliminer est de considérer que le service informatique est l’unique responsable de la protection des données de l’entreprise.
N’oubliez pas qu’au contraire, nous sommes tous responsables de nos données !
Ce transcript reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit
Commentaires?
Voilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus
ou contactez-nous?