Blogue Present | Innovation TI pour les affaires

Sécurité informatique dans les PME : un défi quotidien mais négligé

Rédigé par Benoit Mercier | 3 nov. 2016 16:00:00

Cet article date d'un moment déjà. On vous invite à consulter nos articles de blogue plus récent par ici afin d'être à l'affut de toutes les innovations en cybersécurité.

On associe généralement une faille de sécurité informatique avec le vol ou la perte d’informations par l’intrusion de pirates informatiques. En effet, les fameux hackers sont souvent l’inquiétude première des entreprises en cette matière. Cette crainte est-elle justifiée? Comment prévenir le vol ou la fuite de données?

 

 

 

Quelques cas de piratage célèbres

Il suffit de penser au piratage chez Ashley Madison l’an dernier. De l’information sur les membres a été collectée et publiée par la suite. Si nous avons appris cette année que quelque 500 millions de membres Yahoo! se sont vus subir le même sort, on se rappelle aussi du piratage massif de Sony, en 2014. La société américaine avait alors été menacée de répondre aux demandes d’un groupe de hackers, au risque de voir diffuser bon nombre de données secrètes et de films avant leur date de sortie.

Encore plus récemment, le 21 octobre 2016, une attaque majeure au niveau du DDoS qui a empêché l’accès à des sites majeurs tels que Paypal, Twitter, Spotify et même Radio-Canada.

 

Et si le risque venait de l’interne?

Cependant, pour les PME en particulier, le principal risque ne vient pas de l’extérieur, mais de l’intérieur! Ce ne sont pas toujours les compétiteurs qui sont le plus à craindre; dans beaucoup de cas, ce sont des employés qui causent les violations informatiques, intentionnellement ou non.

Par exemple, un téléphone intelligent perdu et sans mot de passe peut tomber dans les mains d’un compétiteur. Et si quelqu’un quitte la compagnie et que l’on oublie de retirer son accès au serveur? En plus de la possibilité de divulgation d’informations confidentielles, l’accessibilité à un compte fournisseur utilisé pour effectuer des commandes peut être problématique. L’ex-employé pourrait faire livrer de la marchandise ailleurs. 

Évidemment, certains délits sont plus graves que d’autres, dépendamment du type d’entreprises dont il est question. L’idée est tout simplement de porter une attention à ce qui se fait à l’interne en termes de protection des données, puisque les employés sont responsables de 85 % de l’espionnage corporatif [1].

 

La complexité actuelle de la sécurité informatique

À ses débuts, on utilisait Internet pour accéder à de l’information en ligne, et non pour le travail à distance à l’aide de réseaux privés virtuels (VPN) comme c’est le cas aujourd’hui. Il existait des sites Web, mais aucune application pour employés ou clients, et il n’y avait pas d’appareils mobiles à sécuriser.

Aujourd’hui, avec la prolifération des services « SaaS », comme Evernote et Dropbox, et d’autres plateformes de stockage en ligne, la sécurité est un enjeu primordial. Généralement, les grandes entreprises sont plus sensibilisées à ce type de risque, contrairement aux PME qui n’y pensent pas toujours.

Si un employé utilise un logiciel ou un service en ligne de stockage de données avec son compte personnel et qu’il quitte l’entreprise, à qui appartient l’information corporative contenue et accumulée depuis des années dans le logiciel? Et s’il se fait une copie préventive des données sur un service de stockage en ligne, qu’est-ce qui l’empêche de les réutiliser après son congédiement ?

C’est pourquoi nous vous suggérons d’offrir un service à l’interne pour prévenir une fuite d’information liée à l’utilisation d’outils comme Dropbox. Au besoin, vous pouvez bloquer l’accès aux autres services que vous désirez proscrire.

 

Pistes de solution pour renforcer la sécurité informatique dans les PME

Il existe des stratégies pour prévenir les risques de piratage et de fuite de données dans votre PME. Bien évidemment, cette liste n’est pas exhaustive! Par contre, elle peut vous permettre de couvrir les points majeurs.

 

  • •  A la base, il faut bien sécuriser le périmètre du réseau. Ceci implique l’utilisation de pare feux de nouvelle génération, et avoir un processus de révision des accès en continu;
  • •  Surveillez ce qui se passe sur votre réseau. Qu’il s’agisse d’intrusions ou d’agissements internes illicites, il faut comprendre ce qui s’y passe;
  • •  Appliquez le principe de donner seulement les accès nécessaires;
  • •  Changez régulièrement vos codes d’accès et utilisez un gestionnaire de mots de passe corporatifs;
  • •  Protégez vos données à l’aide d’un antivirus sur chaque poste de travail et assurez-vous que les correctifs de sécurité Microsoft soient appliqués partout;
  • •  Mettez en place des services « cloud » corporatif, de sorte à éviter une prolifération de services clouds personnels;
  • •  Instaurez un processus clair de terminaison d’emploi ayant pour but de bloquer tous les accès aux ex-employés.

 

 

Crédit photo : © EvgeniiAnd - Fotolia.com

 

[1] 2014: A year of mega breaches, a Ponemon institute survey of 735 IY and IT security practitioner in the US.