On parle de système d’information (SI) dans une entreprise pour désigner la totalité des ressources qui collectent, stockent, traitent et distribuent toutes sortes d’informations. Ce système se compose à la fois de processus techniques – c’est à dire la plupart du temps d’outils informatiques – et sociaux, donc en d’autres termes notre manière d’utiliser ces outils.
Alors, comment bien protéger un système d’information dans ce cas ?
Contrôler l’accès aux données de l’entreprise
Dans une entreprise, tous les employés n’ont pas les mêmes responsabilités, que cela soit vis-à-vis d’un projet ou d’autres salariés. Certaines données ne doivent donc être accessibles qu’à certaines personnes. Voilà pourquoi les 5 points suivants sont essentiels :
- 1- Chaque salarié doit posséder un compte nominatif pour accéder aux postes de travail
En effet, en cas de problème, il est plus facile de retrouver qui est à l’origine de telle ou telle action. Il faut donc oublier les comptes créés pour un service entier et utilisés par plusieurs personnes à tour de rôle ! Une procédure d’identification des accès au système d’information doit être mise en place.
- 2- Plusieurs niveaux d’accès aux données sensibles sont à créer
Dès qu’un nouvel employé est embauché ou qu’une personne change de poste, ses droits sur les divers documents présents dans le système d’information sont à actualiser. Un gestionnaire RH pourra par exemple accéder à des données personnelles sur les employés, ce qui ne doit pas être le cas de n’importe qui ! De même en ce qui concerne les procédures de sécurité informatique ou de gestion comptable.
- 3- Les prestataires ne doivent pas pouvoir accéder à des données sensibles
Même si votre prestataire signe une clause de confidentialité, veillez tout de même à chiffrer vos données les plus sensibles.
- 4- Le réseau local doit être protégé des attaques extérieures
Gérer l’accès aux informations en interne et lors d’échanges commerciaux, c’est une chose. Mais vous devez aussi protéger votre entreprise des attaques extérieures : virus, logiciels espions, piratages…
- 5- L’accès aux locaux doit être contrôlé
De la même manière que vous protégez vos données de manière virtuelle, vous devez contrôler l’accès physique à vos locaux ! Un système avec badges magnétiques ou digicode sera ainsi à mettre en place.
Former ses employés en sécurité informatique
Qu’ils utilisent des outils informatiques développés en interne ou qu’ils aient recours à un logiciel de virtualisation, vos employés doivent être formés aux « bonnes pratiques », celles qui garantissent la sécurité du système d’information. Voici les 3 consignes qu’il est impératif de mettre en place dans l’entreprise :
- 1- Choisir des mots de passe sécurisés
Exit donc le mot de passe utilisé sur quinze comptes à la fois ou le fameux « 123456 », les mots de passe doivent tous être différents et comporter au moins 8 caractères, avec lettres, chiffres et symboles. Les mots de passe sont à changer régulièrement et surtout, à garder secrets.
- 2- Ne pas laisser sa session ouverte
Dès qu’un employé s’absente, il lui faut prendre l’habitude de verrouiller son poste de travail. Sinon, les mots de passe et les accès restreints ne serviront en fin de compte à rien !
- 3- Être vigilant avec les données sensibles
Tout le monde n’est pas forcément au point avec les rouages du monde d’Internet… Voilà pourquoi une simple sensibilisation aux risques constitue déjà une première étape. Certains outils en ligne peuvent par exemple être « à éviter». Une simple note interne listant les actions à ne pas faire permettrait déjà d’accroître le niveau de sécurité de votre entreprise !
En effet, la plupart du temps, les problèmes de sécurité ne sont pas le fruit d’actions malveillantes, mais simplement le résultat de maladresses involontaires.
Source : CNIL
Sources images : Unplash et GettyImages