Home >> Sécurité >> La Sécurité informatique en PME

La Sécurité informatique en PME

Dans les petites entreprises, mettre en place et maintenir un niveau correct de sécurité relève souvent du défi. Je vais tenter ici d’aborder des points importants, et vous donner des pistes afin de relever ce défi !

Les facteurs qui « plombent » la sécurité informatique dans les sociétés de petites tailles sont nombreux. Tout d’abord, le manque de budget. Il est évident qu’on ne peut pas aborder le sujet sous le même angle qu’une société de grande taille, car les finances ne suivront pas. Ensuite, le manque d’intérêt et la méconnaissance du sujet par les décideurs au sein de ces entreprises. Pour eux, c’est souvent de l’argent qui part en fumée, et « on n’est pas la NASA hein, nous on a rien de vraiment confidentiel !« . Oui mon brave monsieur, mais le jour où un pirate cryptera toutes vos données comptables, pas sûrs que vous voyez la situation sous le même angle…

Nous allons donc voir, à travers plusieurs points rapides, une série de choses à prendre en compte lorsqu’on travaille avec des PME, et qu’on veut leur offrir une sécurisation maximum du parc info et réseau.

1 – Prise de conscience

Il faut faire prendre conscience aux décideurs au sein de l’entreprise que la sécurité informatique n’est pas une option, mais une obligation. Il est très efficace de citer des problèmes rencontrés par d’autres sociétés. J’ai eu affaire à du cryptage de données (réalisées manuellement par un pirate qui a pris accès via une faille sur le service RDS) sur deux entreprises. Lorsque j’expose à mes autres clients la galère que ça a été, ça fini souvent par « ok, faites un point, et chiffrez-moi ça ! »

Et bien là, l’air de rien, vous avez fait un gros travail. Votre client a pris conscience des dangers encourus, et c’est aussi votre rôle que de l’avoir fait ! Vous pouvez passer à la suite !

2 – Mise en place d’un plan de sécurité

Il est important, pour que la sécurité soit abordée avec logique et pragmatisme, de mettre en place un plan de sécurité. Ça passe tout d’abord par une bonne connaissance/analyse du réseau informatique du client.

Ensuite, il faut tout définir. Qu’est ce qu’il faut protéger, comment est-ce qu’on accède aux données et au réseau, comment se font les sauvegardes, rédiger un PRA pour ne pas perdre de temps après sinistre/crash, etc

Bref, mettez les choses aux clairs, et sur papier (oui, le pdf ça marche aussi, du moment qu’il est backupé!). C’est bien pour le client, qui y voit l’assurance d’une certaine maitrise et d’une clarté. Et c’est surtout bien pour vous, car lors d’une reprise après sinistre, vous serez content d’avoir tout notifié au préalable…

3 – Chiffrer au plus juste

On comprend bien que les entreprises n’ont ni l’envie, ni la possibilité, d’investir de manière extrême dans la sécurité informatique. A vous de choisir des produits adaptés au juste rapport fonctionnalités/prix. J’ai des clients qui ont opté (avant que je ne travaille avec eux) pour la mise en place de firewalls Netasq U70 et U30. Ces firewalls ont pour seules utilités de relier via VPN 3 sites, et de protéger le site via le pare-feu. Ils ont souscrit à un abonnement mensuel pour ce matériel auprès de leur FAI, et ça leur coûte très cher !

Pour les mêmes besoins, un petit firewall type Cisco RV110W à 100€ suffit…
Je ne tire pas sur le matériel Netasq, qui est vraiment excellent, mais qui dans ce cas de figure est clairement surdimensionné. Sauf que le FAI a un contrat avec Netasq, et doit en vendre !!

C’est aussi pour ça que les entreprises sont réticentes, elles sont devenues méfiantes, et à juste titre !! Soyez donc de bon conseil !

4 – Identifier les points sensibles

Il faut définir sur chaque site les points sensibles de l’infrastructure. Un accès internet est un point sensible. Il faut donc le sécuriser à l’aide d’un pare-feu par exemple, et le configurer correctement en définissant les besoins. Qui a besoin d’entrer sur le réseau ? Pour quoi faire ? Comment les identifier ? Et ensuite, mettre en place des règles adéquates.

Attention : On voit trop d’entreprises avec des pare-feu « décoratifs ». Quand on regarde, on trouve en fait une règle en « pass-all », c’est-à-dire qu’on laisse passer tout le trafic.

Quand vous mettez en place un pare-feu, n’oubliez pas : on commence par mettre en place une règle qui interdit tout le trafic entrant. Ensuite ont créé des règles en amont, qui permettent par exemple l’accès à des utilisateurs distants via le VPN de l’entreprise (adresse IP source filtrée), ou à certains services uniquement (ftp, web, etc.). C’est le but d’un firewall !!

5 – Les sauvegardes

C’est un aspect primordial de la sécurité, même si on est déjà plus trop dans la sécurité pure. Mais il faut garder une chose à l’esprit : aujourd’hui vous maitrisez la sécurité de vos clients. Et demain ?backup

Les menaces évoluent, des failles sont trouvées, des méthodes inventées …
Il serait bien arrogant d’assurer à vos clients que vous maitrisez parfaitement leur sécurité.

Il faut donc miser à fond sur la dernière carte à jouer en cas de gros pépin : la sauvegarde. Plusieurs jeux de sauvegardes, déconnectés du réseau, déporté du site où se trouvent les données, etc. C’est impératif. Et si votre client est réticent, demandez-lui si un pirate effaçait les données, ou un incendie ravage le bâtiment, combien de temps pense-t-il pouvoir tenir ensuite?

6 – Le WiFi

Trop souvent, les points d’accès WiFi des entreprises sont mal configurés. wifiSoit on a baissé le niveau de sécurité (pour un souci de compatibilité avec du vieux matériel par exemple) soit on l’a carrément viré! (et là on retrouve les arguments du genre « c’est chiant on se rappel jamais de la clé à donner à ceux qui veulent se connecter » et « on n’est pas la NASA, personne ne va essayer de venir pirater notre petite boite!! ».

Certes ! Mais n’oublions pas qu’un accès Wi-Fi, c’est un accès à votre réseau, et à internet sous votre responsabilité. C’est-à-dire que si quelqu’un décide de se connecter, depuis la rue, sur votre borne, et commettre des actes malveillants, vous serez tenus responsables de ceux-ci à moins de ne pouvoir prouver le contraire…

Sécurisez les accès WiFi!

7 – Nouvelle composante : BYOD

On a aussi, depuis quelques années, cette composante à gérer dans les PME. byodC’est un aspect très complexe de la sécurité en général, puisque par définition, le matériel circule du domicile de l’utilisateur aux locaux de l’entreprise, et on a du mal à mener une politique de sécurité correcte.

« Une des clés pour la sécurité du réseau est de ne pas se concentrer sur la protection des terminaux et de faire plutôt un focus sur la donnée qui circule entre ces terminaux. » Voilà une approche proposée par La Revue IT de Dell. qui peut permettre de réfléchir à une bonne sécurisation de ce nouveau type d’équipements. L’article dans son entier aborde aussi l’automatisation du réseau, et le SDN, qui concernent les entreprises un peu plus grandes. Je vous encourage à en prendre connaissance.

8 – Maintien du parc à jour

Que ce soit les applications, le système d’exploitation, ou les firmwares, on doit penser à mettre à jour les composantes sensibles d’un parc.

On sait par exemple que certaines applications très répandues, comme les produits Adobe Acrobat Reader, Flash Player, ou encore Java, sont régulièrement mises en cause dans des failles 0-Days. Il est donc impératif de suivre de près les sorties de ces mises à jour et de les déployer (des outils peuvent vous aider, comme WAPT dont on a déjà parlé : « WAPT : Gestion de parc ») ou encore SCCM.

Mais on oublie souvent les mises à jour de firmware sur les équipements sensibles, tels que routeurs, firewall, etc. C’est aussi un aspect important de la sécurité!

9 – Former le personnel

Il peut être intéressant et très productif d’organiser des formations du personnel. Proposez-le à vos clients. FormationParlez directement aux employés des risques encourus. J’ai toujours pensé qu’il est plus facile de sensibiliser les utilisateurs, que de tout brider avec efficacité sans empêcher les employés de travailler correctement. N’hésitez pas à les mettre au pied du mur. Si regarder une vidéo porno au bureau peut effectivement être amusant, ça le sera surement moins si le site était malveillant et a installé du code malicieux sur votre réseau. Et si les données de l’entreprise sont altérées et qu’il est défini que ça vient de là, alors là c’est plus marrant du tout, et ça mène à un licenciement pour faute grave!! Sans être non plus fataliste, il faut expliquer que ça arrive, et que c’est une catastrophe pour le fautif qui perd son job, pour l’entreprise qui aura à faire face à un problème d’envergure, et pour ses collègues qui auront à vivre une situation de crise.

10 – L’audit de sécurité

Je vous rappelle qu’un article présente quelques outils permettant de faire de l’audit. C’est un bon moyen de déceler des failles, et de faire un compte rendu à l’entreprise cliente. Audit client : Les outils

Conclusion

Voilà, vous avez quelques pistes concernant la sécurité pour vos clients PME. Ces simples règles permettent d’envisager la mise en place d’une solution globale de sécurité. Mais ce ne sont que des pistes « générales » et il va de soi que chaque client présente des spécificités propres, et que le plus important est de bien connaitre le réseau et le fonctionnement de la structure si on veut bien la sécuriser.

N’hésitez pas à venir sur notre forum pour parler de vos projets sécurité !

About Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

A lire également

Ransomware Popcorn time – Une mutation sans limite

Ce n’est pas la première fois que l’on parle des Ransomwares ici. C’est certainement l’un …

  • Axel

    Très bon article, c’est toujours difficile de faire comprendre aux gens l’importance. J’ai eu un client, sa secretaire s’est chopé un cryptlocker … Ils en ont bavé, mais maintenant : Backup de toutes les données sur un site distant.
    Comme s’il devait se prendre un gros poing dans la figure avant d’investir.

    Je ne comprends pas le  » On a pas de budget pour ça « . Faut vraiment un changement des mentalités.

    Puis notre métier c’est ingrat : Quand tout va, aucun remerciement, quand y a un problème ça hurle .

    • Pyrithe

      Merci. Oui, c’est d’autant plus dur que la structure est petite. C’est normal que les PME se penchent uniquement sur la production, et que l’aspect sécurité leur paraisse superflue. A nous, professionnels, d’adapter notre discours!!

  • Nico

    Excellente analyse ! Dans les petites entreprises, il faut approcher le sujet de la sécurité avec beaucoup de pédagogie et avec des exemples concrets. Une fois que le patron a compris qu’il vaut mieux dépenser quelques centaines d’euros pour éviter d’en perdre des milliers quelques mois plus tard, c’est gagner ! C’est un peu comme les accidents de voiture, une fois compris que l’accident n’arrive pas toujours qu’aux autres, on se protège !

    • Pyrithe

      Et en tant que professionnels, nous avons tout à y gagner : Le jour où il y a un crash, c’est vers l’informaticien qu’on se retourne, et si le système de backup n’est pas suffisant ou même inexploitable, alors allez faire comprendre au client que c’est lui qui est fautif d’avoir pris les mauvaises décisions!!!
      De plus, la mise en place de bonnes solutions de sauvegarde, et de sécurité, permettent de réaliser de jolis projets et donc de générer du bon boulot!! 😉