Cybersécurité pour les PME, TPE et grandes entreprises

Qu’est-ce que la Cybersécurité ?

La cybersécurité désigne l’ensemble des moyens organisationnels, techniques, humains et juridiques visant à empêcher la compromission des données des échanges électroniques ou la disponibilité du Système d’Information d’une organisation.

La cybersécurité (communément sécurité informatique ou sécurité des Systèmes d’Information) consiste à protéger les systèmes contre les menaces logiques sur les réseaux privés et publics (Internet). Les systèmes concernés sont par exemple : les ordinateurs, serveurs informatiques, équipements d’interconnexion, appareils mobiles, les réseaux, les données, etc.

Les problématiques de la cybersécurité sont nombreuses et concernent l’ensemble des mesures sécuritaires préventives et correctives nécessaires au maintien de la Disponibilité, l’Intégrité, la Confidentialité et la Traçabilité des données stockées et transportées par les réseaux précités.

La norme ISO 27001 est d’ailleurs devenue la référence internationale en termes de système de management de la sécurité de l’information. Sa déclinaison ISO 27002 détermine quant à elle les bonnes pratiques en matière de sécurisation et de contrôle.

Les menaces liées aux évolutions technologiques

Portée par la dynamique des usages mobiles, de l’Internet des objets et du cloud computing (l’informatique en nuage) la cybersécurité devient un sujet éminemment sensible et d’actualité.

Les cyberattaques figurent parmi la liste des risques désormais encourus par les organisations de toutes tailles au même titre que les sinistres physiques de leurs locaux ou les risques juridiques liés à leur activité.

Le phénomène s’amplifiera nécessairement compte tenu de la part toujours plus grande de l’usage des technologies Cloud pour tous les types de besoins des entreprises et notamment les services hébergés de type IaaS, PaaS, SaaS[1].

En effet, les données sensibles étaient jusqu’à présent plutôt stockées au sein des entreprises elles-mêmes avec peu ou pas d’accès depuis l’extérieur. Ce modèle est en train d’évoluer aux motifs d’une plus grande souplesse, d’un coût de possession plus faible (moins d’investissement pour l’infrastructure notamment) et globalement d’une plus grande agilité dans l’utilisation des moyens et outils.

L’externalisation de tout ou partie de ces données et la multiplicité des dispositifs d’accès entraine obligatoirement un renforcement des moyens de protection et de contrôle pour continuer à garantir un haut niveau de sécurité.

L’accompagnement de cabinets d’experts techniques mais aussi juridiques en veille permanente sur tous ces sujets s’avère nécessaire voire indispensable pour conserver la maîtrise de son Système d’Information.

Des dispositifs d’accès très variés

Tout appareil informatique ou électronique connecté disposant d’un accès réseau et d’une adresse IP est aujourd’hui potentiellement vulnérable une fois connecté sur Internet.

Le matériel est ainsi souvent au cœur des problématiques et des convoitises qu’il s’agisse en effet de nuire au fonctionnement du système en question, de dérober des informations qui y sont stockées ou de le faire auprès d’autres systèmes par son intermédiaire.

La diversité des appareils utilisés pour accéder aux applications et informations de l’entreprise rendent la tâche de contrôle et de maîtrise de périmètre de diffusion très délicate. Les accès peuvent (et doivent aujourd’hui) de par la forte demande des utilisateurs et la nécessaire performance de l’entreprise être rendus possibles depuis des ordinateurs fixes ou portables de l’entreprise mais aussi, depuis des smartphones, des navigateurs internet de tous types, de postes publics (cybercafé, salle informatique, libre-service…)

On peut également citer ici depuis quelques années le courant du « B.Y.O.D : Bring Your Own Device »[2] (littéralement « apporter VOTRE matériel personnel ») consistant pour les employés et dirigeants à utiliser leur matériel personnel pour accéder aux données de l’entreprise.

Cette pratique impose une rigueur dans la définition et la gestion des politiques d’accès inhérentes à ces matériels soumis seulement partiellement à la politique de sécurité de l’entreprise mais aussi l’usage de solutions de type MDM « Mobile Device Management ».

Et l’humain dans tout ça ?

L’humain est au cœur de ce sujet sensible au moins au même niveau d’importance que les dispositifs qu’il utilise.

Chaque personne ayant un accès à une application, un partage de données, un serveur, un dispositif de l’entreprise constitue potentiellement une menace pour les données de l’entreprise ! Derrière ces propos lapidaires il n’est pas évidemment pas question d’interdire l’accès aux données à leurs propres utilisateurs ou créateurs mais bel et bien de définir les bonnes pratiques, de sensibiliser et de former les utilisateurs tout en limitant les accès aux scénarii d’usage maîtrisés.

Au-delà de ces mesures et directives, il est également primordial de pouvoir faire appel aux principes de bonnes pratiques transmis mais également au bon sens des utilisateurs en toutes circonstances.

Ex : si vous n’avez rien commandé auprès de la société X, il n’est pas normal que cette société vous transmette une facture en pièce jointe d’un courrier électronique !…

Pour toutes ces raisons, l’entreprise doit se doter d’un plan d’accompagnement et de formation régulier de ses équipes à tous les niveaux de responsabilité.

RGPD : Quatre lettres pour un règlement unique à l’échelle Européenne

Ces dernières années, le R.G.P.D. ou Règlement Général de Protection des Données (ou en anglais G.D.P.R : General Data Protection Regulation) a beaucoup fait parler de lui à l’échelle Européenne pour être finalement adopté par le Parlement européen le 14 avril 2016.

Cette nouvelle réglementation entrée en vigueur le 25 mai 2018 a notamment deux objectifs majeurs :

  • accroître la protection des personnes concernées par un traitement de leurs données à caractère personnel

et

  • la responsabilisation des acteurs de ce traitement.

La cybersécurité prend ainsi une nouvelle dimension. Depuis le 25 mai 2018, ce règlement oblige en effet les entreprises à prendre des mesures pour mieux sécuriser leurs Systèmes et en particulier les données de leurs clients.

Le règlement prévoit des sanctions aux acteurs qui ne respectent pas les règles. Ces pénalités peuvent aller jusqu’à 2% ou 4 % du Chiffre d’Affaires. L’aspect contraignant de ces directives constitue à la fois une nécessité pour les entreprises et leurs partenaires de se conformer au Règlement notamment par l’affectation de moyens humains en charge du maintien de la sécurité du Système d’information.

Le contexte décrit plus haut dans cet article et ces nouvelles obligations constitue également une opportunité d’affaires pour les constructeurs et éditeurs de solutions tout comme les fournisseurs de services d’intégration et de support.

Qu’en est-il pour mon entreprise ?

Selon l’activité de votre entreprise, vous êtes peut-être amené à collecter les données de vos clients. Il est donc conseillé voire obligatoire de mettre en place une stratégie pour assurer la conformité en mettant en œuvre les processus adaptés. La stratégie visera notamment à garantir que ces données ne seront pas altérées ou compromises par des personnes non autorisées.

Il peut s’agir par exemple de :

  • Déterminer les données, processus métiers critiques et non critiques de votre entreprise, les applications et outils,
  • Déterminer la criticité et donc le niveau de disponibilité des applications en vue de maintenir la continuité des processus métiers. Les processus critiques feront notamment l’objet d’une attention particulière en matière de sauvegarde des données et de Plan de Continuité d’Activité (PCA) ou Plan de Reprise d’Activité (PRA).
  • Hiérarchiser l’information de la plus sensible jusqu’à la moins sensible afin de permettre l’élaboration de stratégies d’accès (internes, externes, nomades, etc.)
  • Déterminer les parties-prenantes de ces processus et notamment les utilisateurs, responsables et intervenants pour chacun de ces processus afin de définir la matrice d’habilitations.
  •  

Forte de ces éléments tangibles, l’entreprise pourra élaborer sa stratégie de gestion en matière de Cybersécurité et amorcer un cycle continu de suivi de ces besoins ainsi que de veille en matière d’évolution des menaces. Une fois encore, l’accompagnement d’un partenaire expert en cybersécurité peut s’avérer nécessaire.

Les solutions de Synexie pour répondre aux enjeux de Cybersécurité

La forte expérience de notre équipe d’Ingénieurs et l’approche terrain de Synexie lui permet de répondre à tous les enjeux de Cybersécurité par la corrélation des risques auxquels sont exposés ses clients aux différents facteurs liés à son activité.

Forte de plus de 20 ans d’expertise dans le domaine, Synexie dispose de nombreuses références ; nous pouvons proposer les solutions adaptées aux besoins de tous types de clients selon les thématiques :

  • Continuité de service des infrastructures (haute disponibilité) :

    • clusters de virtualisation VMware et Hyper-V,
    • consolidation du stockage,
    • systèmes de supervision.
    • PRA/PCA : Plan de Reprise d’Activité et Plan de Continuité d’Activité.
  • Protection des accès :

    • Firewalls, UTM,
    • Filtrage des accès à Internet (proxy, cache, QoS),
    • Authentification forte,
    • Firewalls applicatifs WAF,
    • Répartiteurs de charge, reverse proxy,
    • Solutions de contrôle des accès d’administration distante.
  • Gestion de la confidentialité :

    • Solutions de chiffrement de postes de travail,
    • Conteneurs chiffrés,
    • Zones de confiance locales, réseaux, sur Cloud public ou privé.
  • Protection des données :

    • Analyse antivirale,
    • Antispam,
    • Solutions de sauvegardes sur site et externalisées,

 

Nos services s’adaptent aussi bien aux petites et moyennes entreprises de tous secteurs d’activités (TPE, PME) qu’aux Grands Comptes et aux collectivités du secteur Public.

N’hésitez pas à contacter notre équipe commerciale pour une étude sans engagement de votre part.

Faire une demande de rappel

[1] Nous vous suggérons la lecture de l’article succinct de présentation des différences entre ces services hébergés : https://www.oodrive.fr/blog/innovation/cloud-computing-iaas-paas-saas-quelles-differences/

[2] Un très bon article de la CNIL présente les bonnes pratiques en la matière : https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques

 

image image image image image image image image image image image image image image

A propos

Synexie propose ses services depuis 2003 dans les métiers de l’informatique en tant qu’éditeur de logiciels métier et d’applications web et en réseaux et sécurité. Aujourd’hui, Synexie regroupe 12 collaborateurs, essentiellement des ingénieurs diplômés, et affiche un chiffre d’affaires d’1,5 millions d’euros.

Nom/Société : *

E-mail : *

Téléphone : *

Votre message : *