Cinq conseils simples pour la sécurité informatique en entreprise

Cinq conseils simples pour la sécurité informatique en entreprise

Aujourd'hui l'informatique est l'un des éléments clés du fonctionnement et du développement des entreprises. Il ne se passe pas quelques jours sans que l'on entende parler de nouvelles malveillances informatiques visant des entreprises de toutes tailles et provoquant des dommages parfois irrémédiables. C'est pourquoi, il convient de protéger les systèmes d'informations, qui sont un patrimoine essentiel.

Voici cinq conseils simples qui permettent de se prémunir contre une bonne partie des attaques.

  1. Mots de passe

Les mots de passe sont la base de presque tous les contrôles d'accès. Il s'agit donc de changer systématiquement ceux qui sont définis par défaut et de ne pas les choisir à la légère.

En premier lieu, il ne faut pas utiliser le même mot de passe partout. En effet, si l'un des sites que vous utilisiez a été compromis, tous vos accès utilisant le même mot de passe le sont également. À titre d'exemple, en 2012, LinkedIn s'est fait volé près de 165 millions d'identifiant et de mots de passe. Cela a notamment permis à un groupe de prendre (temporairement) le contrôle de nombreux comptes de personnalités, dont les comptes twitter et pinterest de Mark Zuckerberg.

Ensuite, il faut utiliser des mots de passe suffisamment longs et complexes. Un bon mot de passe fait plus de huit caractères, il ne contient pas de mots qui peuvent apparaître dans le dictionnaire ou des informations personnelles et il mélange lettres majuscules et minuscules, chiffres et symboles. Par exemple, bien qu'assez long, un prénom suivi d'une date de naissance, n'est pas un bon mot de passe. En effet, il existe des outils qui permettent facilement de générer un dictionnaire à partir d'informations qu'on leur fournis.

Enfin, comme les brosses à dents ou les sous-vêtements, les mots de passe ne se partagent pas et se changent régulièrement. Cela permet de s'assurer que s'ils sont compromis, la possibilité d'attaque sera limitée dans la durée.

Il est humainement difficile de rester en accord avec ces règles. Pour nous y aider, il existe des solutions logicielles qui fonctionnent parfaitement. Elles permettent de générer des mots de passe complexes et s'en souviennent pour vous. Il suffit de mémoriser un seul mot de passe maître qui protégera tous les autres. On peut citer, entres autres, LastPass ou KeepPass.

  1. Mises à jour

On entend parfois parler d'utilisation de failles dites zero day, c'est-à-dire des failles qui ne sont pas encore connues et/ou corrigées. Elles ne sont que très rarement utilisées et quasiment exclusivement pour des cibles importantes. La grande majorité des attaques exploitent des failles bien connues, pour lesquelles des correctifs sont disponibles. De plus, dès leur sortie, ces correctifs sont rapidement analysés par les cybercriminels afin de comprendre ce qu'ils apportent et créer des outils qui permettent d'exploiter les éléments corrigés. C'est pourquoi, il est primordial d'appliquer systématiquement les mises à jour. Cela concerne bien évidemment les bases antivirus, les systèmes d'exploitation et les logiciels, mais également tous les équipements connectés au réseau.

  1. Accès physiques

La simplicité des accès physiques peut également être la base d'une attaque. Moins d'une minute peut suffire pour compromettre une machine ou créer une connexion pérenne à un réseau local, lorsqu'on est laissé seul devant un ordinateur ou une prise réseau. Ainsi, il ne sert à rien de mettre en place une politique de sécurité informatique très stricte si les accès physiques ne sont pas compliqués. De ce fait, il est important de penser aussi à sécuriser les accès physiques à l'informatique.

  1. Prévention

Le social engineering, qui consiste à tromper son interlocuteur pour obtenir des informations ou un accès physique, est au centre de bon nombre d'attaques. Par exemple, il s'agit de savoir ne pas ouvrir n'importe quel courriel, ne pas cliquer sur n'importe quel lien, ne pas connecter n'importe quelle clé USB, ne pas répondre à des questions au téléphone, etc. La sécurité informatique n'est pas forcément instinctive, elle s'acquiert. C'est pourquoi, il est essentiel de former ses équipes aux bonnes pratiques.

  1. Sauvegardes

Il s'agit d'anticiper une perte éventuelle de données. Les données importantes doivent plutôt être stockées sur un serveur prévu à cet effet. Il doit disposer d'un système de sauvegarde périodique en ligne et hors ligne et il faut vérifier régulièrement que les sauvegardes sont fonctionnelles. Afin de pouvoir relancer ce serveur rapidement et perdre le moins de temps possible, il est recommandé d'écrire des procédures d'urgence dans un plan de continuité d’activité, en décrivant notamment la restauration des données en cas de sinistre majeur.

On peut donc dire que la sécurité informatique ne se limite pas à l'achat de produits, mais correspond plutôt à un état d'esprit, mais aussi et surtout à la mise en place de processus. De ce fait, il s'agit d'une problématique transversale entre la technique et l'humain. Ainsi, cela nécessite d'une part, une connaissance approfondie de son système d'information et de tous les éléments qui le composent. Et d'autre part, cela exige également d'impliquer les humains qui sont finalement au cœur de tout.

5 conseils pour réduire les coûts informatiques en entreprise

5 conseils pour réduire les coûts informatiques en entreprise

La maîtrise des coûts est l'un des éléments clés de la rentabilité de votre entreprise. Les coûts liés au système d'information peuvent représenter jusqu'a 10 % de votre chiffre d'affaire. Il s'agit donc d'un poste important qui nécessite une attention particulière pour contenir les dépenses, tout en assurant un service performant, répondant à vos ambitions et en adéquation avec les demandes des utilisateurs.

Parce que, par nature, les systèmes informatiques sont complexes et qu'ils évoluent rapidement, le calcul du TCO (Total Cost of Ownership) est difficile et la gestion des dépenses peut sembler délicate, surtout lorsqu'on ne parle pas un minimum la langue. Mais voici 5 conseils simples pour réduire ou contenir vos coûts informatiques :

  1. Allonger la durée de vie du matériel. Le matériel représente en moyenne 1/3 du budget alloué à la DSI. Avec un cycle de vie souvent en décalage avec celui de l'entreprise, la durée de vie d'un matériel bien entretenu n'est limité que par son obsolescence. Plutôt que de remplacer systématiquement un matériel, il est souvent possible de le recycler ou de le moderniser à moindre frais. A titre d'exemples :
    • Un ancien poste de travail peut être réutilisé pour de la saisie logistique.
    • Deux machines en panne peuvent être combinées en une seule fonctionnelle.
    • Une simple réinstallation, une nouvelle carte réseau dans un serveur ou un ajout de RAM dans un poste de travail peuvent leurs permettre de gagner quelques mois, voire années d'utilisation.

  1. Revoir régulièrement ses contrats. Qu'il s'agisse d'abonnements chez un opérateur télécom, de la location d'un photocopieur multifonctions ou encore de contrats de maintenance/services, il faut s'inquiéter périodiquement de leur pertinence vis-à-vis de vos objectifs et des besoins. S'ils sont arrivés à terme, il ne faut pas hésiter à essayer de les renégocier avant de les renouveler. Pour la maintenance, les contrats sont généralement résiliables moyennant un préavis. Par contre, ils sont souvent soumis à une tacite reconduction. Cette dernière peut coûter en cas d'oubli. Pour les télécoms, les offres évoluent rapidement pour inclure toujours plus de services.

  2. Réduire l'utilisation des consommables. En matière informatique, il s'agit surtout de l'électricité. Aujourd'hui les stations de travail démarrent rapidement et peuvent facilement être éteintes ou mise en veille profonde la nuit et le week-end. Cela peut permettre d'économiser 30 à 50% des dépenses énergétiques liées au fonctionnement de l'informatique. Il s'agit également des consommations liées aux impressions. La mise en place d'une politique d'économie de ce poste peut aussi permettre de réduire considérablement les coûts. Il convient notamment d'encourager les impressions multiples, recto-verso et en noir et blanc, et de s'efforcer à ne réaliser que les impressions indispensables. Cela peut aussi être le commencement de la mise en place une GED.

  3. Faire appel à un prestataire externe. Parce qu'elle n'a pas besoin d'une personne à temps plein, une petite PME n'a aucun intérêt a gérer elle-même toute son informatique. De plus, le système d'information est un patrimoine essentiel qu'il convient de confier à un spécialiste. En externalisant tout ou partie de la fonction à un prestataire de confiance, on peut concentrer ses ressources sur son cœur de métier et cela permet de rationaliser les frais.

  4. Eviter les contrats à trop long terme. Certes ils permettent de baisser rapidement les dépenses mais ça n'est bien souvent qu'un phénomène momentané. En effet, ils induisent des coûts fixes et répondent à un besoin à un instant T. Ainsi, si les besoins diminuent, sans payer de lourds frais de résiliation, les coûts ne changeront que difficilement avant la fin de l'engagement. Et à l'inverse, si les besoins augmentent, ils peuvent limiter le potentiel de développement.

Ces quelques éléments vous permettent de réduire les coûts mais ce n'est pas quelque chose sur lequel vous ne devriez vous pencher qu'une à deux fois par an. La gouvernance de votre système d'information doit s'inscrire dans un processus d'amélioration continue de manière à conserver un niveau de service en accord avec vos objectifs et les besoins des utilisateurs.

La sécurité de votre réseau professionnel en IPv6 vs IPv4

Ou pourquoi je recommande fortement de ne pas activer IPv6 ?

L'IP (pour Internet Protocol), c'est le protocole qui permet (entre autres) à Internet de fonctionner. La version la plus utilisée est IPv4. Mais principalement en raison d'un manque d'adresse, on a inventé IPv6 pour le remplacer à terme. En attendant, elles coexistent et fonctionnent en parallèle.

A titre informatif, une adresse IPv4 ressemble à ça :

192.168.32.24

Et une adresse IPv6, à ça :

2a01:e37:8b3f:47a0:afbc:33ff:feb5:efa7

Pour vous connecter à Internet, en IPv4 en général votre FAI ne vous fourni qu'une seule adresse. Avec plusieurs appareils (PC, portable, tablette, etc) et en ne disposant que d'une seule adresse IP, votre box, qui fait office de routeur, utilise le NAT (pour Network Address Translation) et possède donc deux adresses IP, une publique et une privée. Les appareils, eux, n'ont qu'une adresse privée.

nat-1

Ainsi, de manière imagée, lorsque vous demandez, par exemple, une page Internet à votre navigateur, en fait vous demandez à votre routeur de le faire en votre nom et de vous transmettre la réponse.

Cependant le NAT présente un petit inconvénient. Les connexions ne peuvent être initiées que depuis le réseau privé :

nat-2

De ce fait, tous les services proposés par vos appareils (partage de fichiers, caméra, etc) ne sont disponibles que depuis votre réseau local. Pour qu'un service soit accessible depuis Internet, il faut faire une redirection de port. Ça n'est pas quelque chose qu'on met en place par hasard et cet inconvénient se transforme en fait, en avantage considérable en terme de sécurité.

En IPv6, votre FAI fourni une plage d'adresses de manière à ce que chaque appareil dispose de sa propre adresse publique. Ainsi, les connexions peuvent être initiées dans les deux sens :

notnat

Ainsi, après avoir activé l'IPv6 sur ma connexion, depuis une autre connexion IPv6, j'ai pu pinger mon serveur, pourtant habituellement "caché" derrière ma box ADSL en IPv4 :

ping6 _@IPv6_

ping

On peut faire un petit nmap pour voir ce qui est accessible :

nmap -6 _@IPv6_

nmap

Et on a accès en ssh et aux serveurs http :

ssh user@_@IPv6_

ssh

wget -6 http://_@IPv6_

wget

Et bien évidement tous les autres services sont aussi accessibles...

Vous n'avez pas d'enregistrement « AAAA » dans votre configuration DNS, donc vous avez peu de chance qu'on tombe, par hasard, sur votre adresse IPv6. Par hasard, non ! Mais maxmind fourni une base et on trouve également des sites qui donnent des adresses pour un service particulier. Par exemple voici les nœuds IPv6 du réseau bitcoin : http://btcnodes.org/ipv6. Enfin, chaque site que vous visitez enregistre votre adresse.

Pour résumer, en IPv4, vos services (partage de fichiers, caméra, etc) sont cachés derrière votre box ADSL et donc inaccessibles depuis Internet alors qu'en IPv6, tous vos services sont directement accessibles depuis Internet.

C'est pourquoi, à moins que cela ne soit nécessaire et si c'est possible, je recommande fortement de ne pas activer IPv6.