Sécuriser les données confidentielles en entreprise. 

Sécuriser les données confidentielles en entreprise. 

Toutes les entreprises, et ce quelle que soit leur taille ou leur activité, stockent et manipulent des informations confidentielles. Qu’il s’agisse d’informations clients, de données personnelles des employés, de brevets, de fichiers comptables, toutes ces informations sensibles sont stockées par les sociétés, le plus souvent sous forme de données informatiques. Il est indispensable de protéger au mieux ces données et de réduire le risque autant que faire se peut, sans entraver le fonctionnement de l’entreprise. Comment sécuriser les données confidentielles ? Quelles sont les bonnes pratiques pour protéger vos fichiers les plus sensibles ?

Recenser les données pour mieux les protéger

La première étape consiste à hiérarchiser les données en fonction de leur degré de confidentialité. Il s’agit de définir quelles sont les données stratégiques et les risques associés à leur vol ou à leur consultation. Il est ensuite essentiel de définir qui peut accéder à ces informations au sein de l’entreprise en fonction de la hiérarchie et des fonctions de chaque employé et enfin de recenser les différents appareils du système d’information permettant de stocker ou d’accéder à ces données (ordinateurs, tablettes, cellphone, clés USB, serveurs, data-centers…). Cet inventaire vous permettra d’établir une typologie précise des données de l’entreprise afin de mette en oeuvre une gestion des accès pertinente et un système d’hébergement sécurisé.

Les règles essentielles pour sécuriser les données confidentielles.

  • Mettre en place un système de gestion des accès rigoureux. Définir les données auxquelles un collaborateur, un partenaire ou un prestataire peut accéder en fonction de ses tâches et de son statut.
  • Appliquer une politique stricte en matière de mots de passe. Ces derniers doivent être uniques en fonction des collaborateurs et/ou des usages, être complexes, renouvelés régulièrement. Ils ne doivent pas être communiqués à quiconque.
  • Bloquer rapidement les accès d’un collaborateurs suite à son départ de l’entreprise.
  • Installer des système d’authentification et de chiffrement des échanges.
  • Sauvegarder régulièrement les données dans un data-center.

Sécuriser les données confidentielles : les questions clés.

Sécuriser les données confidentielles en entreprise nécessite la mise en place d’une politique globale de sécurité qui doit prendre en compte les divers enjeux liés à ces informations :

  • Comment ces données sont-elles acquises ou produites ?
  • Comment sont-elles échangées ? Dans quel but ? Par qui ?
  • Où et comment sont -elles stockées ? Sont-elles suffisamment protégées contre les intrusions, le vol et la destruction ?
  • Existe-t-il plusieurs sauvegardes de ces données ?

Prendre en charge le facteur humain.

Vos collaborateurs constituent une faille importante dans la sécurité informatique de votre entreprise. Ils sont généralement à l’origine des fuites d’informations confidentielles, le plus souvent à leur insu. En effet, les cyber-criminels n’hésitent pas à utiliser l’ingénierie sociale pour accéder aux données confidentielles. C’est à dire qu’ils mettent en place des stratagème afin d’obtenir les informations en utilisant les employés. De ce fait, plusieurs mesures peuvent être mise en place, en complément des mesures techniques.

  • Nommer un ou des responsables de la sécurité des données.
  • Classer les informations en fonction de leur vulnérabilité.
  • Définir des règles d'accès informatique.
  • Diffuser des procédures et règles de sécurité en matière de sauvegarde, d’échange et de consultation des données sensibles.
  • Rédiger un charte informatique établissant une réglementation des usages.
  • Former les collaborateurs et les sensibiliser aux divers risques.
  • Prévoir une procédure en cas de crise.

Quelles sont les solutions informatiques ?

De nombreux dispositifs existent pour protéger votre système informatique, garantir son fonctionnement et sécuriser les données confidentielles qu’il contient. Un prestataire en infogérance peut vous aider à analyser vos besoin en matière de confidentialité informatique et vous proposer les solutions techniques les plus adaptées au fonctionnement de votre entreprise et à vos besoins. Voici quelques exemples de dispositifs permettant de sécuriser les données confidentielles :

  • La mise en place d’une messagerie d’entreprise externalisée garantissant la sécurité des échanges grâce au cryptage et limitant les dispositifs d’ingénierie sociale.
  • Un système d’hébergement externalisé en data-center, situé en France et assurant la sauvegarde des données sensibles.
  • La mise en place d’un système de gestion des accès.
  • La supervision informatique, permettant de détecter les activités inhabituelles sur le réseau d’entreprise et donc, les intrusions potentielles.
  • L’installation d’un serveur d’entreprise sécurisé.

Si vous souhaitez sécuriser les données confidentielles au sein de votre entreprise et améliorer votre politique de confidentialité, les experts Nowteam peuvent vous aider à mettre en place les mesures nécessaire pour respecter la législation et protéger vos informations.

Gestion des mots de passe en entreprise : les bonnes pratiques. 

Gestion des mots de passe en entreprise : les bonnes pratiques. 

La gestion des mots de passe en entreprise constitue un aspect majeur pour la sécurité de votre système informatique. Les mots de passe sont la première protection contre les intrusions et le vol de données. Ils font partie du quotidien de votre entreprise, sont utilisés par tous et contribuent à la bonne santé de votre système informatique d’entreprise.

Une mauvaise gestion des mots de passe met en danger votre entreprise.

Pourtant, malgré leur importance dans la protection des données et la sécurité du système informatique, la gestion des mots de passe en entreprise est bien souvent mauvaise, voire catastrophique. En effet, selon une enquête réalisée par Vason Bourne pour SailPoint 73 % des collaborateurs interrogés utilisent un mot de passe unique pour toutes les applications et logiciels utilisés en entreprise. 38 % des employés avouent partager leur mot de passe avec leurs collègues. Et, 37 % des personnes interrogées affirment pouvoir encore accéder à certains services en ligne de leur ancien employeur, ce qui, évidemment, peu s’avérer fort problématique en cas de litige.

Conseils pour une bonne gestion des mots de passe.

  • Choisir des mots de passe complexes, longs, comprenant chiffres et lettres, majuscules, minuscules et caractères spéciaux.
  • Varier les mots de passe. Eviter l’usage d’un mot de passe unique entre plusieurs collaborateurs ou plusieurs applications. En cas de piratage, tous ces services seraient compromis.
  • Ne pas rassembler les mots de passe dans un document. Eviter le fameux « post-it » sur le bureau.
  • Renouveler régulièrement les mots de passe. 
  • Changez systématiquement les mots de passe après une infection par virus, une intrusion ou toute autre forme de piratage.

Un mot de passe fort, oui mais…

Choisir des mots de passe complexes protège votre entreprise contre les attaques par dictionnaire, qui consistent à forcer l’entrée dans le système grâce à des programmes testant des séries de mots de passe potentiels. Mais dans la plupart des cas, les cybercriminels ne s’embarrassent pas de cette méthode de cryptanalyse. Il est bien plus facile de se procurer le mot de passe plutôt que de tenter de « le deviner ». Ainsi, les cybercriminels utilisent des emails de phishing ou s’introduisent dans les boîtes mail pour obtenir les mots de passe. La gestion des mots de passe en entreprise doit donc prendre en compte ces pratiques.

  • Evitez d’échanger les mots de passe par email.
  • Vérifiez toujours la fiabilité d’une page web avant de renseigner vos identifiants et mots de passe.
  • Ne stockez pas vos mots de passe sur votre poste de travail.

La gestion des accès aux données.

La gestion des mots de passe en entreprise doit être couplée à une gestion stricte des accès. Vos collaborateurs ne doivent pouvoir accéder qu’aux informations indispensables à l’exercice de leurs fonctions et non à l’ensemble des données d’entreprise. En cas de piratage, la totalité des informations serait accessible aux cybercriminels. D’autre part, une bonne gestion des accès aux données permet d’éviter que les anciens collaborateurs puissent toujours se connecter aux services de l’entreprise.

Formez vos collaborateurs.

Une bonne gestion des mots de passe en entreprise ne repose pas seulement sur le service informatique ou l’équipe technique. Les employés doivent être sensibilisés aux bonnes pratiques en matière de sécurité informatique afin de limiter les risques et de réduire le nombre d’attaques utilisant l’ingénierie sociale. Tous vos collaborateurs doivent connaitre les règles d’utilisation des mots de passe et leur durée de vie. Chacun doit mesurer les enjeux en matière de sécurité informatique.

Votre prestataire en infogérance peut vous aider à améliorer la sécurité informatique de votre entreprise. Nowteam vous conseille sur les meilleures méthodes à adopter pour garantir l’intégrité de votre système tout en préservant les performances de votre entreprise. Nos experts peuvent mettre en place un système de gestion des accès efficace afin de protéger vos données et de garantir la confidentialité au sein de votre société.

Ingénierie sociale : Les employés, principale faille de sécurité. 

Ingénierie sociale : Les employés, principale faille de sécurité. 

Si les entreprises mettent en oeuvre un grand nombre de mesures de sécurité pour protéger leur système informatique contre les attaques extérieures, les dirigeants négligent souvent la principale faille de sécurité : les employés. En effet, les collaborateurs de votre société, du fait de la méconnaissance des risques, de mauvaises pratiques ou de manque de prudence permettent aux menaces de s’introduire dans votre système. Les cybercriminels usent particulièrement de ingénierie sociale pour parvenir à leurs fins, c’est à dire, la manipulation des employés.

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale désigne un ensemble de méthodes utilisées par les cybercriminels visant à tirer profit des mauvais usages et du manque de méfiance des utilisateurs pour s’introduire dans le système informatique afin de diffuser des malwares, accéder aux données ou réaliser une arnaque financière. Ces techniques ont pour but de contourner les systèmes de sécurité informatique en utilisant les employés à leur insu. En effet, il est souvent plus facile d’exploiter les failles humaines que de réaliser un piratage informatique demandant de grandes compétences techniques. 84% des incidents informatiques sont liés au comportement de l’utilisateur.

Les principales techniques utilisant l'ingénierie sociale.

Le phishing.

Le phishing est certainement la technique la plus efficace d’ingénierie sociale. Il s’agit de produire un email se faisant passer pour une entreprise ou une administration (banque, institution gouvernementale, police…) afin de demander à l’utilisateur de renseigner son identifiant et mot de passe. Ces emails de phishing sont souvent très crédibles. Ils permettent d’obtenir facilement des accès aux système en misant sur le manque de méfiance des utilisateurs. 70% des emails de phishing sont ouverts et 95% des intrusions utilisent cette technique d’ingénierie sociale.

Le mail du « président »

Cette arnaque consiste à envoyer un email aux employés en se faisant passer pour le dirigeant de l’entreprise. Le message a pour but de faire réaliser certaines taches au destinataire comme effectuer un virement sur un compte, envoyer des documents ou donner certains accès aux données. Le ton de l’email mise sur l’urgence et l’autorité. Le cybercriminel exerce une pression psychologique sur l’employé pour parvenir à ses fins rapidement via une usurpation d’identité. Cette arnaque de social engineering vise surtout les grandes entreprises où tous les collaborateurs ne connaissent pas nécessairement le dirigeant.

La pièce jointe infectée.

Les pièces jointes sont le principal mode de diffusion des malwares et ransomwares. Il s’agit de cacher un logiciel malveillant dans un email en apparence inoffensif. Le nom de la pièce jointe à pour but d’inciter l’utilisateur à la télécharger et l’ouvrir (« Votre facture », « Devis »…). Le fichier une fois téléchargé permet aux cybercriminels d’accéder au système informatique. Cette technique repose en grande partie sur le manque de méfiance des utilisateurs qui introduisent eux-mêmes la menace dans le système de l’entreprise.

Comment prévenir les attaques utilisant le social engineering ?

Il est important de garder à l’esprit que les utilisateurs sont la principale faille de sécurité de votre système informatique. Vos collaborateurs peuvent mettre en péril votre entreprise par simple maladresse ou en étant utilisés à leur insu par des hackers malveillants. Certaines mesures de sécurité permettent de limiter les risques.

La prévention et la formation des employés.

Le principal ressort de l’ingénierie sociale est le manque de méfiance des employés et une méconnaissance des techniques utilisées par les cybercriminels. Effectuer de la prévention auprès de vos équipes peut vous éviter bien des déboires. Informez vos employés des pratiques comme le phishing, les pièces jointes infectées, les ransomwares. Incitez les à vérifier la provenance des emails.

La charte informatique.

Une charte informatique en entreprise permet de définir les règles d’utilisation de l’informatique au sein de la société et de promouvoir les bons usages. Définissez un ensemble de règles de sécurité et de pratiques afin de limiter les risques de piratages utilisant l’ingénierie sociale.

Contrôler l’usage du réseau.

Un grand nombre d’intrusions ont pour origine un usage personnel ou incorrect du réseau internet en entreprise. Vous pouvez réduire ce risque en limitant l’accès à certains sites comme les réseaux sociaux, les plateformes de téléchargement ou les sites de streaming.

Une meilleure gestion de l’accès aux données

Contrôler de façon stricte l’accès aux données d’entreprise permet de limiter le piratage utilisant l’ingénierie sociale. Assurez que chaque employé à accès aux données nécessaires à l’exercice de sa fonction sans pour autant avoir accès à l’ensemble des données. En effet, si le poste de cet employé venait à être piraté, le cybercriminel n’aurait qu’un accès restreint aux fichiers de l’entreprise, ce qui limite l’ampleur de l’intrusion. Mettez également en place une politique de gestion des mots de passe efficace.

Solutions techniques et ingénierie sociale.

Les solutions technologiques et informatiques comme le contrôle du réseau ou un meilleur système de gestion des accès peuvent contribuer à réduire le nombre de piratages. Même si la prévention et la formation des employés reste votre meilleur atout sécurité, faire appel à une société d’infogérance peut vous permettre d’associer ces mesures de prévention à des mesures techniques efficaces. Les experts Nowteam vous aident à mettre à protéger votre système informatique contre les intrusions faisant appel à l’ingénierie sociale.

Cyber conformité : votre entreprise respecte-t-elle la législation ? 

Cyber conformité : votre entreprise respecte-t-elle la législation ? 

L’informatique, et notamment l’hébergement des données, est soumise à une législation stricte qui encadre l’utilisation du matériel et des programmes, ainsi que la conservation et la consultation des données. Le respect de cet ensemble de réglementations se nomme cyber conformité. Les mauvaises pratiques au sein des entreprises peuvent entraîner des sanctions pénales et avoir de lourdes conséquences sur l’activité et la réputation de la société. Quel est le niveau de cyber conformité de votre entreprise ? Comment vous assurer de respecter les règles en matière d’informatique ?

Cyber conformité : les principaux points du GDPR 2018

Le GDPR désigne le règlement européen de la protection des données. Cette règlementation entre en vigueur en mai 2018 et impose un certain nombre de contraintes aux entreprises en matière de traitement, d’hébergement et de collecte des données informatiques à caractère personnel. Voici les principaux point du GDPR :

  • Tenir un registre des données dont dispose votre entreprise, leur niveau de sensibilité et leur mode d’hébergement.
  • Prévenir et détecter les risques de fuite, de vol ou d’intrusion, notamment grâce à un système de monitoring et une bonne gestion des accès.
  • Les données doivent être protégées dés leur récolte et par défaut.
  • Disposer d’un système de restauration en cas de compromission des données.
  • Répondre aux demandes d’effacement, de rectification ou de modification des données émises par les utilisateurs.
  • Coopérer avec la CNIL, faire les déclarations obligatoires et fournir les preuves et documents demandés.

Vérifier la cyber conformité de vos solutions d’hébergement.

Opter pour un hébergement en datacenter

Il est de plus en plus fréquent pour les entreprises de choisir une solution d’hébergement des données externalisée. Les datacenters ont une place de plus en plus importante dans la transformation digitale des entreprises et la sécurisation des données informatiques. Considérant les risques d’attaques, d’intrusions ou de piratage, les entreprises sont de plus en plus sensibles aux problématiques de protection des données. Les sociétés doivent considérer les risques juridiques et financiers tout en respectant les législations française et européenne.

Une solution d’hébergement des données d’entreprises en datacenter constitue donc un choix stratégique pour votre entreprise. Les données informatiques doivent être protégées tout en restant disponibles. La localisation physique des datacenters doit être en conformité avec les lois régissant la protection des données. D’autre part, les informations doivent être protégées contre les sinistres (dégâts des eaux, incendies…) et les intrusions, qu’elles soient physiques ou numériques.

Les prestataires étrangers et la cyber conformité.

Si vous optez pour un service Cloud chez un prestataire américain d’hébergement des données, sachez que vos informations sont soumises à la législation américaine et notamment le « USA Patriot Act » qui confère à la NSA (National Security Agency) l’autorisation de consulter ces données de façon illimitée et sans que votre entreprise n’en soit informée. Cette autorisation est valable mais si le lieu physique d’hébergement des données est situé sur le territoire européen. Cette législation entre en conflit avec la loi française de protection des données Informatique et Libertés et nuit à la cyber conformité de votre société. Choisir un système de Cloud américain expose juridiquement votre entreprise qui ne peut garantir que sa politique de sauvegarde des données est en accord avec la loi.

Lors du choix de votre solution d’hébergement de données vous devez être attentif à la localisation des datacenters afin d’assurer la protection des informations mais aussi la cyber conformité de votre société.

Faire appel à des experts de la cyber conformité

80% des dirigeants d’entreprises françaises estiment être bien informés des réglementations en matière de cybersécurité. Pourtant, seulement 2 à 5 % des entreprises ont mis en place un système de monitoring et de notification des incidents. Ces mesures sont pourtant inscrites dans la réglementation. « Les projets de mise en conformité exigent des compétences pointues, à la fois juridiques, fonctionnelles et techniques, dont les entreprises disposent rarement en interne. La question de la disponibilité de ces ressources va se poser de plus en plus à l’approche des échéances, avec des répercussions inévitables sur les coûts » déclare Laurent Charreyron, spécialiste en cyber-sécurité.

Il est donc indispensable pour votre entreprise de faire appel à des experts informatiques pour garantir la cyber conformité de votre société. Nowteam, votre prestataire en infogérance, vous aide à assurer la sécurité de vos données et de votre système informatique tout en vous permettant de respecter la législation française et européenne en vigueur.

Attaque DDoS, comment protéger votre entreprise ? 

Attaque DDoS, comment protéger votre entreprise ? 

Une attaque DDoS (Distributed Denial of Service ou attaque par déni de service) est une attaque informatique très répandue du fait de sa relative simplicité et de son efficacité. Les entreprises ont de grandes chances d’être confrontées à une attaque DDoS et ce type de menace informatique est fréquent. Une attaque DDoS peut engendrer l’arrêt de l’activité de l’entreprise, une perte financière et avoir des conséquences sur l’image de la société.

Comment fonctionne une attaque DDoS ?

Une attaque DDoS a pour but de rendre le serveur ou l’infrastructure informatique de l’entreprise indisponible en provoquant une surcharge de la bande passante ou en sollicitant ses ressources techniques jusqu’à provoquer une panne. Pour mettre en oeuvre une attaque DDoS, les cybercriminels envoient simultanément une multitude de requêtes au serveur, depuis de nombreuses machines. L’intensité du nombre de requête rend le serveur instable et inutilisable.

Il existe 3 types d’attaques DDoS.

Bande passante : Attaque DDoS visant à saturer le serveur.

Ressource : Attaque DDoS visant à épuiser les ressources du système.
Exploitation des failles de sécurité :  L’attaque DDoS cible une faille de sécurité particulière afin de rendre le serveur indisponible ou d’en prendre le contrôle.

Quel est le but d’une attaque DDoS ?

Toute entreprise ou organisation dont l’activité réponse sur une infrastructure réseau connectée à internet peut être la cible d’une attaque DDoS. Les entreprises de e-commerce, les organismes financiers, les institutions gouvernementales ou les structures d’hébergement informatiques ont plus de risques d’être touchées par les attaques par déni de service. Les opérateurs français constatent plus d’un milliers d’attaques de ce type par jour, et plusieurs rapports publics signalent une hausse des attaques de ce genre. En plus d’être plus nombreuses, les attaques DDoS gagnes également en ampleur.

Les objectifs d’une attaque DDoS peuvent être très variés.

  • Volonté de ralentir ou arrêter l’activité de l’entreprise
  • Revendications idéologiques (hacktivisme)
  • Extorsion de fond
  • Dissimuler d’autres actions illégales ou frauduleuses.

Attaque DDoS : est-il possible de protéger son entreprise ?

Il est indispensable d’envisager la possibilité d’une attaque DDoS dans votre entreprise. Un certain nombre de mesures techniques et organisationnelles peuvent vous permettre d’anticiper ce type d’attaque afin de protéger votre société.

Le système de pare-feu.

La mise en place d’un pare-feu peut contribuer à éviter une attaque DDoS. En effet, ce système permet de filtrer le trafic et de limiter les requêtes par adresse IP source à destination du serveur. Néanmoins, un pare-feu ne constitue pas une protection suffisante, et cet équipement peut parfois perte exploité par les cybercriminels pour rendre les services indisponibles. Un configuration appropriée permet d’améliorer la résistance de votre système à certaines attaques DDos.

Le monitoring du système d’information.

La mise en place d’un système de monitoring permet de surveiller de près l’activité de votre réseau et de détecter rapidement une attaque DDoS. En effet, vous êtes averti en cas d’activité inhabituelle sur votre système informatique, ce qui vous permet d’identifier rapidement la menace et de prendre les mesures qui s’imposent avec l’aide de votre prestataire informatique.

Un meilleur contrôle du réseau de l’entreprise.

La gestion des accès et le contrôle de l‘utilisation du réseau internet peut être une mesure utile pour la prévention d’une attaque DDoS. Des systèmes de sécurité tels que l’identification à double facteurs limitent l’accès au système. D’autre part, restreindre l’accès à certaines URL vous offre la possibilité de mieux contrôler le trafic entrant et sortant au sein de votre société.

En tant que dirigeant, vous êtes responsable de la sécurité de votre entreprise et des données dont elle dispose. Il est donc indispensable de mettre en oeuvre les mesures les plus adaptées afin d’assurer la sécurité informatique de votre SI. Les experts informatiques Nowteam peuvent vous aider à assurer la sécurité de votre entreprise et notamment en la protégeant contre une éventuelle attaque DDoS.

Page 1 sur 161234510Dernière page »