Cybersécurité et ISO 27001 : préservez vos données informatiques !

Publié le -

cybersecurite

 

La crise de la Covid-19 a accéléré la mise en place du télétravail. Il a fallu se réorganiser et autoriser les salariés à accéder à leurs données professionnelles depuis leur domicile. Dans ce contexte, comment assurer la cybersécurité de son organisation ? La norme ISO 27001 nous éclaire sur le sujet. 

 

Fin 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) alertait sur la proportion croissante des cyberattaques en France dans le contexte de la crise sanitaire. En effet, dans un monde toujours de plus en plus connecté, les entreprises de toutes tailles s’exposent à des risques qui peuvent mettre en péril plusieurs de leurs données, dont celles de leurs clients et/ou prestataires. 

 

La cybersécurité a ainsi pour objectif de protéger ces informations et de maintenir l’intégrité des ressources informatiques. Il n’y a pas que les grandes entreprises qui sont visées par les cyberattaques : en effet les PME/TPE peuvent constituer des cibles de choix étant donné que ces dernières sont parfois moins sensibilisées et/ou préparées face à ce type de risque. 

 

Même les établissements de santé y sont confrontés. Cela a été le cas récemment de l’hôpital de Dax et de l’hôpital de Villefranche-sur-Saône qui ont tous deux subi une cyberattaque de grande ampleur. Le système informatique de ces deux hôpitaux a été paralysé durant plusieurs heures, et le personnel hospitalier a dû s’adapter en conséquence pour assurer la continuité de l’activité.  

 

Un plan de 1 milliard d’euros a ainsi été récemment débloqué par le gouvernement pour lutter contre la cybercriminalité et mettre en place des actions spécifiques pour les hôpitaux.
Parmi les actions envisagées : la sensibilisation et l’accompagnement des structures dans l’adoption de solutions de type cyber ; la formation des différents métiers du secteur ; le développement de l’écosystème cybersécurité ; le soutien de la recherche et de l’innovation.

 

Ces risques de cyberattaques peuvent également être minimisés via l’adoption de normes telle que l’ISO 27001 et par la mise en place d'outils dédiés. 



Recommandé pour vous  > Demandez une démonstration de la solution BlueKanGo

Qu’est-ce que l’ISO 27001 ?

 

Issue de la famille de normes ISO 27000, l’ISO 27001 est une norme internationale basée sur la mise en place d’un Système de Management de Sécurité de l’Information (SMSI). Elle s’adresse à tous types d’organismes qui souhaitent protéger leurs actifs sensibles comme les données de propriété intellectuelle, les données financières ou encore les données relatives au personnel.

 

Comme les autres normes de type ISO (International Organization for Standardization), cette certification n’est pas à caractère obligatoire. 



Comment éviter les risques de cyberattaques ?

 

La généralisation du télétravail a offert de nouvelles opportunités aux hackers qui exploitent la vulnérabilité de certains outils de visioconférence ou autres moyens de communication à distance. Les entreprises doivent donc réagir en conséquence, en adoptant une stratégie efficace

Elaborer un plan de continuité

 

Le Plan de Continuité Informatique (PCI) fait partie intégrante du Plan de Continuité d’Activité (PCA) et a pour objectif d’assurer la continuité de l’activité en cas de panne informatique. Pour l’établir, l’entreprise doit tout d’abord réaliser une analyse des risques et une analyse des impacts. 

 

L’analyse des risques consiste à identifier les principales menaces pouvant intervenir sur le système informatique : ces menaces peuvent être de nature interne ou externe. Il s’agit ensuite de définir les différents risques découlant des menaces identifiées, ainsi que leurs impacts potentiels. Pour les risques ayant un impact relativement élevé après hiérarchisation, il s’agit pour ces derniers de mettre en œuvre des mesures d’atténuation. 

 

L’analyse des impacts a pour but d’évaluer l’impact d’un risque et de déterminer le moment où ce dernier devient intolérable. Cette analyse permet d’obtenir une donnée temporelle, plus précisément la durée maximale admissible d’une potentielle interruption au niveau de chaque processus. 

 

Une fois ces analyses établies, l’établissement peut mettre en place des actions techniques pour assurer la continuité du système informatique et éviter les pertes de données. 

 

Sensibiliser les collaborateurs

 

Lorsque les salariés sont en télétravail, ces derniers sont alors connectés au réseau familial et le service informatique n’a plus de visibilité sur la sécurité du réseau. Il s’agit donc de les responsabiliser en leur indiquant les bonnes pratiques à adopter.

 

En effet, ces derniers peuvent être concernés en situation de télétravail par le “piratage psychologique” : cette pratique vise à exploiter les faiblesses psychologiques de la victime dans le but d’obtenir des accès à certaines informations confidentielles. Par exemple, un hacker peut utiliser un système de harponnage via un faux mail des impôts pour que la victime communique ses coordonnées bancaires.. 

 

Les entreprises doivent donc rester vigilantes et accompagner leurs salariés dans les réflexes à adopter lors du travail à distance. 

 

Parmi les principaux réflexes : 

 

  • éviter les échanges de périphériques USB entre l’ordinateur professionnel et tout autre matériel personnel ;
  • veiller à ne pas ouvrir de liens externes inconnus sur sa boîte mail ;
  • faire en sorte de ne pas utiliser sa boîte mail professionnelle sur un ordinateur personnel ou d’une tierce personne ; 
  • utiliser des systèmes de sécurité tels que des pare-feu ou des antivirus ;
  • installer un VPN, c’est-à-dire un réseau de type privé, pour avoir accès de façon sécurisée aux données de l’entreprise ;
  • choisir des mots de passe adéquats (exit le classique “12345” !) ;
  • veiller à effectuer des sauvegardes de façon régulière et à utiliser des disques durs dont les données à froid sont cryptées. 

 

Ainsi, les salariés doivent être considérés comme un maillon essentiel de la sécurité notamment en situation de télétravail. 

 

Recommandé pour vous  > Demandez une démonstration de la solution BlueKanGo

Mettre en place des outils sécurisés

 

La transformation numérique des entreprises est en pleine accélération depuis la crise sanitaire. Aujourd’hui, il est primordial que chaque salarié puisse avoir accès aux documents le concernant et ce à distance. Ainsi, il doit pouvoir se connecter à sa plateforme via un accès dédié (avec login/mot de passe), tout en garantissant la sécurisation des données.  

 

Les solutions de type SaaS (Software-as-a-Service) représentent un rempart contre les éventuelles attaques informatiques : en effet, des prestataires dédiés à l’hébergement des données sont là pour vous assurer la maîtrise de votre système. Peu importe la taille de la structure, grâce au SaaS les données sont délocalisées et enregistrées sur des serveurs sécurisés : le niveau de sécurité de l’application est ainsi le même indépendamment du poste de travail utilisé. 

 

Les solutions de type SaaS garantissent une gestion optimale des équipements et de la maintenance par des équipes de professionnels  spécialisées dans le domaine. Il faut pour cela veiller à choisir des hébergeurs fiables, sécurisés et agréés (exemple avec Microsoft Azure).

Les services d’infogérance proposés assurent une maintenance des serveurs et permettent de relancer l’activité en cas de défaillance du système. Les systèmes de type  SaaS utilisent des sites distincts pour la production et pour les sauvegardes : ainsi, si un incident survient sur l’un des sites, les données pourront être récupérées sur d’autres sites.

Avec ces process digitalisés sur des outils SaaS, la structure et les données de l’entreprise sont conservées en dehors du système d’information interne avec une protection assurée par l’hébergeur dont c’est le métier. Tout est simplement dématérialisé et centralisé sur une unique plateforme. On réduit ainsi le risque de perte d’informations et on assure la continuité de l’activité, y compris à distance. 

 

Le numérique occupant une place de plus en plus importante dans les organisations, il est donc primordial de protéger toutes les données pour éviter tout risque de cyberattaque. Des outils et des normes existent pour accompagner les entreprises et leurs collaborateurs dans cette démarche.

Recommandé pour vous  > Demandez une démonstration de la solution BlueKanGo