Cybersécurité pour les PME, TPE et grandes entreprises

Qu’est-ce que la Cybersécurité ?

La cybersécurité désigne l’ensemble des moyens organisationnels, techniques, humains et juridiques visant à empêcher la compromission des données des échanges électroniques ou la disponibilité du Système d’Information d’une organisation. Aussi appelée sécurité informatique ou sécurité des Systèmes d’Information, elle consiste à protéger les systèmes contre les menaces sur les réseaux privés et publics (Internet). Les systèmes concernés sont par exemple : les ordinateurs, les serveurs informatiques, les équipements d’interconnexion, les appareils mobiles, les réseaux, les données, etc.

Les problématiques de la cybersécurité concernent les mesures sécuritaires préventives et correctives nécessaires au maintien de la Disponibilité, l’Intégrité, la Confidentialité et la Traçabilité des données stockées et transportées par les réseaux précités.

La norme ISO 27001 est devenue la référence internationale en termes de système de management de la sécurité de l’information. Sa déclinaison ISO 27002 détermine quant à elle les bonnes pratiques en matière de sécurisation et de contrôle.

Les menaces liées aux évolutions technologiques

Portée par la dynamique des usages mobiles, de l’Internet des objets et du cloud computing, la cybersécurité est un sujet éminemment sensible et d’actualité.

Les cyberattaques figurent parmi la liste des risques désormais encourus par les organisations de toutes tailles au même titre que les sinistres physiques de leurs locaux ou les risques juridiques liés à leur activité.

Le phénomène s’amplifiera nécessairement compte tenu de la part toujours plus grande de l’usage des technologies cloud pour tous les types de besoins des entreprises et notamment les services hébergés de type IaaS, PaaS, SaaS.

En effet, les données sensibles étaient jusqu’à présent plutôt stockées au sein des entreprises elles-mêmes avec peu ou pas d’accès depuis l’extérieur. Ce modèle est en train d’évoluer aux motifs d’une plus grande souplesse, d’un coût de possession plus faible (moins d’investissement pour l’infrastructure notamment) et globalement d’une plus grande agilité dans l’utilisation des moyens et outils.

L’externalisation de tout ou partie de ces données et la multiplicité des dispositifs d’accès entraînent obligatoirement un renforcement des moyens de protection et de contrôle pour continuer à garantir un haut niveau de sécurité.

Par conséquent, l’accompagnement de cabinets d’experts techniques mais aussi juridiques en veille permanente sur tous ces sujets s’avère nécessaire voire indispensable pour conserver la maîtrise de son Système d’Information.

Des dispositifs d’accès très variés

Tout appareil informatique ou électronique disposant d’un accès réseau et d’une adresse IP est aujourd’hui potentiellement vulnérable une fois connecté sur Internet. Le matériel est ainsi souvent au cœur des problématiques et des convoitises qu’il s’agisse en effet de nuire au fonctionnement du système en question ou de dérober des informations qui y sont stockées.

La diversité des appareils utilisés pour accéder aux applications et informations de l’entreprise rendent la tâche de contrôle et de maîtrise de périmètre de diffusion très délicate. Les accès doivent, aujourd’hui, de par la forte demande des utilisateurs et la nécessaire performance de l’entreprise, être rendus possibles depuis des ordinateurs fixes ou portables de l’entreprise mais aussi depuis des smartphones, des navigateurs internet de tous types, de postes publics (cybercafé, salle informatique, libre-service…). On peut également citer ici depuis quelques années le courant du « B.Y.O.D : Bring Your Own Device »(littéralement « apporter VOTRE matériel personnel ») consistant pour les employés et dirigeants à utiliser leur matériel personnel pour accéder aux données de l’entreprise.

Cette pratique impose une rigueur dans la définition et la gestion des politiques d’accès inhérentes à ces matériels. En effet, ils ne sont soumis que partiellement à la politique de sécurité de l’entreprise. L’usage de solutions de type MDM « Mobile Device Management » s’impose également.

Et l’humain dans tout ça ?

L’humain est au cœur de ce sujet sensible au moins au même niveau d’importance que les dispositifs qu’il utilise.

Chaque personne ayant un accès à une application, un partage de données, un serveur, un dispositif de l’entreprise constitue potentiellement une menace pour les données de l’entreprise ! Il n’est évidemment pas question d’interdire l’accès aux données à leurs propres utilisateurs ou créateurs mais bel et bien de définir les bonnes pratiques. Il faut sensibiliser et former tout en limitant les accès à des scénarii d’usages maîtrisés.

Au-delà de ces mesures et directives, il est également primordial de pouvoir faire appel au bon sens des utilisateurs en toutes circonstances. Par exemple, si vous n’avez rien commandé auprès de la société X, il n’est pas normal qu’elle vous transmette une facture en pièce jointe d’un courrier électronique.

Pour toutes ces raisons, l’entreprise doit se doter d’un plan d’accompagnement et de formation régulier de toutes ses équipes.

RGPD : Quatre lettres pour un règlement unique à l’échelle Européenne

Ces dernières années, le RGPD (ou GDPR en anglais) a beaucoup fait parler de lui à l’échelle Européenne et a été adopté par le Parlement européen le 14 avril 2016. Cette nouvelle réglementation, entrée en vigueur le 25 mai 2018, a notamment deux objectifs majeurs :

  • accroître la protection des personnes concernées par un traitement de leurs données à caractère personnel
  • la responsabilisation des acteurs de ce traitement.

La cybersécurité prend ainsi une nouvelle dimension. Depuis le 25 mai 2018, ce règlement oblige les entreprises à prendre des mesures pour mieux sécuriser leurs SI et les données de leurs clients.

Le règlement prévoit des pénalités aux acteurs qui ne respectent pas les règles pouvant aller jusqu’à 4 % du CA. L’aspect contraignant du RGPD oblige les entreprises et leurs partenaires à s’y conformer, notamment par l’affectation de moyens destinés au maintien de la sécurité du SI.

Qu’en est-il pour mon entreprise ?

Selon l’activité de votre entreprise, vous êtes peut-être amené à collecter les données personnelles de vos clients. Il est donc obligatoire de mettre en place une stratégie pour assurer la conformité via des processus adaptés. La stratégie visera notamment à garantir que ces données ne seront pas altérées ou compromises par des personnes non autorisées.

Il peut s’agir par exemple de :

  • Déterminer les données, processus métiers critiques et non critiques de votre entreprise, les applications et outils,
  • Déterminer la criticité et donc le niveau de disponibilité des applications en vue de maintenir la continuité des processus métiers. Les processus critiques feront notamment l’objet d’une attention particulière en matière de sauvegarde des données et de PCA / PRA.
  • Hiérarchiser l’information afin de permettre l’élaboration de stratégies d’accès (internes, externes, nomades, etc.)
  • Déterminer les parties-prenantes de ces processus afin de définir la matrice d’habilitations.

Forte de ces éléments tangibles, l’entreprise pourra élaborer sa stratégie de gestion en matière de Cybersécurité. Elle pourra amorcer un cycle continu de suivi de ces besoins ainsi que de veille en matière d’évolution des menaces. L’accompagnement d’un partenaire expert en cybersécurité peut s’avérer utile et efficace sur ces problématiques.

Les solutions de Synexie pour répondre aux enjeux de Cybersécurité

La forte expérience des ingénieurs de Synexie permettent de répondre aux enjeux de Cybersécurité auxquels sont exposés les entreprises aujourd’hui.

Forte de plus de 15 ans d’expertise dans le domaine, Synexie dispose de nombreuses références qui nous sont restées fidèles tout au long de notre croissance. Nous pouvons proposer des solutions adaptées aux besoins de tous types de clients selon les thématiques :

  • Continuité de service des infrastructures (haute disponibilité) :

    • clusters de virtualisation VMware et Hyper-V,
    • consolidation du stockage,
    • systèmes de supervision.
    • PRA/PCA : Plan de Reprise d’Activité et Plan de Continuité d’Activité.
  • Protection des accès :

    • Firewalls, UTM,
    • Filtrage des accès à Internet (proxy, cache, QoS),
    • Authentification forte,
    • Firewalls applicatifs WAF,
    • Répartiteurs de charge, reverse proxy,
    • Solutions de contrôle des accès d’administration distante.
  • Gestion de la confidentialité :

    • Solutions de chiffrement de postes de travail,
    • Conteneurs chiffrés,
    • Zones de confiance locales, réseaux, sur Cloud public ou privé.
  • Protection des données :

    • Analyse antivirale,
    • Antispam,
    • Solutions de sauvegardes sur site et externalisées,

 

Nos services s’adaptent aussi bien aux petites et moyennes entreprises de tous secteurs d’activités (TPE, PME) qu’aux Grands Comptes et aux collectivités du secteur Public.

N’hésitez pas à contacter notre équipe commerciale pour une étude sans engagement de votre part.

 

 

Liens externes: