Cybersécurité
En 1993, la France recensait 500 ordinateurs connectés. Aujourd'hui, il y a plus de 100 millions d'objects connectés. Chacun porte en lui un risque pour l'entreprise. Comment s'en prémunir ?
Trop souvent, il faut qu'il y ait un sinistre pour que le responsable d'entreprise finisse par s'intéresser sérieusement au problème.
Trop souvent aussi, ce sujet est confié à une seule personne (exemple le responsable de l'informatique , le responsable des achats) ou pire à son prestataire informatique.
Mais aucun d'eux, généralement, ne dispose à lui tout seul, de toutes les cartes pour évaluer le niveau de sécurité dont l'entreprise doit se doter et établir une hiérarchie des priorités.
C'est l'affaire de tous !
Le dirigeant doit être associé à la réflexion, quitte à se faire accompagner.
Et il ne doit pas considérer qu'il suffit de quelques dépenses dans l'infrastructure et la maintenance. Il doit vraiment définir et mettre en place une politique de sécurité des systèmes d'information (PSSI).
Dans les petites entreprises, trop souvent, le dirigeant pense être à l'abri pour plusieurs années, en achetant du matériel et en ayant souscrit à un contrat de maintenance (comme pour un investissement dans un outil industriel), mais la digitalisation, l'évolution de l'informatique et des usages impliquent une actualisation constante et une remise en question régulière.
Sensibiliser les salariés
Comme dans la gestion des projets, une des clés de réussite tient dans l'accompagnement des utilisateurs. Malheureusement, l'attention et les moyens consacrés aux utilisateurs sont souvent insuffisants. Pourtant, il est indispensable de former et de sensibiliser ses salariés y compris dans leurs usages personnels des outils numériques pour éviter qu'ils contribuent par leur méconnaissance à être le maillon faible du système. Exemple, un salarié qui amène de chez lui une clé USB ou qui envoie par mail, un fichier, depuis l'ordinateur de son domicile, peut involontairement infecter le système de l'entreprise. Mieux vaut définir les bonnes pratiques et investir un peu de temps pour les expliquer aux salariés.
Les cyber-attaques arrivent qu'aux autres !?
Il ne faut plus se demander si on sera attaqué un jour, mais quand, et surtout avec quel plan de reprise d'activité ?
Les gens pensent souvent qu'ils vont passer à côté de la catastrophe et néglige le sujet. Alors qu'il faut s'y préparer.
Le RGPD a permis de dynamiser cette prise de conscience. Et pour certains, il est temps de passer à l'action.
- - - - - - - - -
Nos actions : accompagnement du dirigeant, rédaction d'un cahier des charges, gestion des prestataires, formation des utilisateurs.
Chef d'entreprise, prestataire ...
Nous faisons une veille permanante sur les recommandations et les labellisations de certains organismes de référence afin de trouver les solutions adaptées à votre situation (activité, taille, exigence) et au niveau de risques. !
Le gouvernement français a mis en place depuis 2009 une agence chargée de la sécurité informatique des entreprises publiques et privées : l'Agence Nationale de la Sécurité des Systèmes d'Information - ANSSI.
Créée dans une optique militaire, l'ANSSI a toujours une mission de défense des systèmes d’information de l’État, mais elle est aussi chargée d’une mission de conseil et de soutien aux administrations, aux opérateurs d’importance vitale, ainsi que la promotion des technologies, des produits et services de confiance, des systèmes et des savoir-faire nationaux auprès des experts comme du grand public.
Elle contribue ainsi au développement de la confiance dans les usages du numérique.
Enfin, si c'est une institution qui cherche à défendre les intérêts des Français, elle le fait dans le respect des directives et de la législation européenne. Par exemple, elle pilote la transposition de la directive européenne Network and Information System Security (NIS), qui a pour objectif d'assurer un niveau de sécurité élevé et commun pour les systèmes d’information de l’Union européenne.
Son action auprès du grand public comprend la veille et la réaction, le développement de produits pour la société civile, l’information et le conseil, la formation, ainsi que la labellisation de produits et de prestataires de confiance.
Le gouvernement français a également lancé en octobre 2017, cybermalveillance.gouv.fr avec la participation active de ANSSI. Il est désormais piloté par le groupement d’intérêt public Action contre la cybermalveillance (ACYMA).
Cybermalveillance.gouv.fr est un guichet unique et gratuit qui a pour but d’aider et de conseiller les particuliers, les entreprises (TPE - PME) et les collectivités territoriales en matière de cybersécurité.
La norme ISO/CEI 27001, publiée en octobre 2005 et révisée en 2013 s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations…) et définit les exigences pour la mise en place d'un système de management de la sécurité de l'information (SMSI). Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l'organisme. L’objectif est de protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique.
La norme précise que les exigences en matière de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus et donc ne pas être ni trop laxistes ni trop sévères.
L'ISO/CEI 27001 énumère un ensemble de points de contrôles à respecter pour s'assurer de la pertinence du SMSI, permettre de l'exploiter et de le faire évoluer. Plus précisément, l'annexe A de la norme est composée des 114 mesures de sécurité de la norme ISO/CEI 27002, classées dans 14 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de faire certifier un organisme ISO/CEI 27001.
Qualification
Qu'est ce que la qualification ?
La qualification est la recommandation par l’État français de produits ou services de cybersécurité éprouvés et approuvés par l’ANSSI.
https://www.ssi.gouv.fr/administration/qualifications/
https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
En cours de qualification
Certification
Qu'est ce la certification ?
La certification est l’attestation de la robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.
L’ensemble du processus est géré au sein de l’ANSSI par le Centre de Certification National.
https://www.ssi.gouv.fr/entreprise/produits-certifies/
Prestataires qualifiés par l'ANSSI ou en cours de qualification :
Prestataires de service d’informatique en nuage (SecNumCloud)
Prestataires de services de certification électronique (PSCE)
Prestataires d’audit de la sécurité des systèmes d’information (PASSI) qualifiés
Prestataires de services d’horodatage électronique (PSHE) qualifiés
Secnumcloud
SECNUMCLOUD
L’ANSSI recommande d’utiliser les solutions disposant d’un Visa de sécurité ANSSI et pour les services Cloud, elle a élaboré le référentiel SecNumCloud (pour la qualification de prestataires de services d’informatique en nuage, dit Cloud).
Le référentiel, dans sa dernière version intègre les exigences du RGPD (dont la localisation des données client par défaut au sein de l’Union européenne ) et s’appuie depuis toujours sur la norme internationale [ISO27001] dont il reprend la structure de l’annexe A.
Les deux référentiels (SecNumCloud et et ISO27001) se complètent. L'ISO27001 est plus centré sur l’organisation nécessaire pour apporter la sécurité et le SecNumCloud sur la partie technique.
Il ne faut donc pas chercher d’équivalence entre les deux ensembles de règles.
En outre, l’objectif du SecNumCloud est de promouvoir, enrichir et améliorer l’offre de prestataires de Cloud à destination des entités publiques et privées souhaitant externaliser, auprès de prestataires de confiance, l’hébergement de leurs données, applications ou systèmes d’information. Sont concernés les prestataires d’informatique en nuage offrant des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service) et souhaitant obtenir un visa de sécurité ANSSI.
Détail du référenciel :
https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.1_anssi.pdf
Les bonnes pratiques
promues par les experts
Les mots de passe
https://www.cnil.fr/fr/5-arguments-pour-adopter-le-gestionnaire-de-mots-de-passe
[TUTORIEL] Utiliser Keepass pour gérer ses mots de passe
Les bonnes pratiques de l'ANSSI
Agence nationale de la sécurité des systèmes d'information