Les échelons de la sécurité informatique
Inspiré par la pyramide de Maslow, j’ai dessiné une pyramide des besoins dans le domaine de la sécurité informatique.
Le fonctionnement de la pyramide de Maslow est que, pour satisfaire les besoins d’un échelon de la pyramide, l’être humain doit satisfaire les besoins des échelons inférieurs. Par exemple, nous devons étancher notre soif et boire de l’eau avant de satisfaire nos besoins d’estime. Il existe des panoplies d’exemples de Maslow sur Internet et je vous invite à les consulter si vous n’êtes pas familier avec le concept.
Au niveau de la sécurité informatique, le concept peut s’appliquer aussi. Pour bien implanter la sécurité en entreprise, il faut s’attaquer aux risques de façon stratégique.
Sécurité physique
Le premier échelon du bas est la sécurité physique. Il va de soit que si nous avons de l’équipement informatique, il faut le protéger des risques de l’environnement physique. Il faut s’assurer que le matériel soit à l’abris du vol. Il faut disposer l’équipement informatique à des endroits ou seulement les gens autorisé ont accès.
Il y a plusieurs niveaux de protection physique. Par exemple, l’ordinateur de la réception se situe dans un hall d’entrée où des visiteurs défilent. Selon ces circonstance, ceci peut être tout à fait légitime puisque la personne à la réception exerce une surveillance et qu’elle verrouille la porte externe lorsque les bureaux sont fermés. Mais il ne faut pas laisser un poste de travail dans un couloir où le public a accès.
La sécurité physique ne s’arrête pas au vol. Il faut s’assurer que l’équipement ne subisse pas d’intempérie. Par exemple, l’eau ou la chaleur. On ne veut pas installer de l’équipement sous de la tuyauterie qui coule.
Pourquoi la sécurité physique est la première ? Simplement parce que vous avez beau mettre toute la sécurité possible sur les pare-feu, anti-feu, mot de passe, etc. Si par exemple quelqu’un dérobe le serveur, toute votre belle sécurité n’aura servi à rien. Une fois qu’une personne malveillante à accès physiquement à un équipement, il devient pour lui plus facile de compromettre vos données.
Sécurité des réseaux (Infrastructure)
Maintenant que vos équipements sont protégés, il faut s’assurer qu’il sont à l’abris des menaces “virtuelles”. À moins que votre équipement ne soit branché à aucun réseau, il y a de forte chance qu’il soit connecté à Internet.
Sécuriser les réseaux, ou l’infrastructure, est probablement la tâche la plus complexe. Internet nous permet d’avoir le monde entier à porté de doigts. Malheureusement, cela s’applique aussi aux menaces. Internet permet à une attaque d’étendre sa portée à l’échelle mondiale. Ainsi, un pirate à l’autre bout de la planète peut accéder a vos données sans avoir la peine de se déplacer. On peut voir l’Internet comme la continuée “virtuelle” du monde physique.
Il faut au minimum avoir un pare-feu à l’entrée de notre réseau. Je ne vais pas entrer dans les détails techniques, mais il existe diverses technologies afin de protéger les réseaux selon les besoins. Par exemple, un détecteur d’intrusion ou un VPN.
Sécurité des systèmes d’informations
Maintenant que infrastructure est sécurisée, il faut regarder les systèmes. Un système informatique peut aller d’un système d’exploitation (Windows, MacOs) jusqu’à une imprimante, en passant par un logiciel. Il peut prendre plusieurs formes, et cela comprend les données qu’il contient. Ici, on parle spécifiquement d’un système d’information, c’est-à-dire, un logiciel.
Chaque système que nous possédons devrait être évalué selon un degré de criticité et appliquer une sécurité selon les différents cas. Par exemple, le logiciel comptable est probablement très critique. Il faut s’assurer que seules les personnes autorisés y ont accès en appliquant un mécanisme de mot de passe.
Certains systèmes sont probablement moins critiques, mais cela ne veut pas dire qu’il faut négliger leur sécurité.
La sécurité des systèmes s’étend aussi à la disponibilité. C’est-à-dire qu’il faut considérer que l’équipement sur lequel le système fonctionne puisse subir une défaillance et deviennent indisponible. Il faut par exemple considérer l’installation d’un deuxième équipement afin d’assurer une redondance.
Sécurité humaine
Maintenant que nos équipements, notre infrastructure et nos systèmes sont sécurisés, regardons l’être humain. Ce dernier est l’aspect le plus imprévisible de la sécurité. En fait, l’être humain est un système en soi. Il peut être compromis, nous avons besoin de sa disponibilité, il possède de l’information, etc. Ici nous pouvons établir un plan de responsabilisation et de sensibilisation.
L’erreur humaine ou la malveillance peut devenir le talon d’Achille de l’entreprise. En fait, la plupart des piratages d’entreprise ont débutés par un humain qui a cliqué sur un mauvais lien, qui a ouvert un fichier infecté, ou qui a révélé son mot de passe. Il faut éduquer les utilisateurs des risques associé à l’utilisation de l’informatique.
Nous devons enseigner des bonnes pratiques. Par exemple, l’utilisation d’un bon mot de passe et la nécessité de le garder secret.
Sécurité organisationnelle
Finalement, il faut mettre en place des procédures écrites afin que la sécurité survive au roulement du personnel. La sécurité doit faire partie intrinsèque de la culture de l’entreprise et ne devrait pas être pris à la légère.
Il faut un plan de formation du personnel et s’assurer que les nouveaux s’imbibent de la culture de sécurité.
Il y a deux niveaux de procédures. Un pour les utilisateurs, mais aussi pour les gens de TI. Étant donné qu’ils ont la responsabilité de maintenir l’informatique, ils doivent exécuter des tâches spécifiques. Par exemple, ils doivent assurer les backup des données.
Très important aussi, il faut mettre en place un processus qui assure le respect des procédures de sécurité. Pour y arriver, les TI et les RH doivent collaborer ensemble.
Conclusion
Comme nous pouvons le voir, il y a plusieurs étapes avant d’arriver à une sécurité d’entreprise convenable. La meilleure approche est de la visualiser de bas en haut. Elle ne garantie pas une sécurité infaillible à 100%, mais elle permet de mieux cerner les risques associés et de planifier un plan relève.