Les DSI sont les responsables et garants de la sécurité du patrimoine IT et numérique de l’entreprise. La disponibilité des applications et des données, la protection contre les failles et les attaques, et la capacité à reprendre les activités en cas d’incident sont vitales et doivent faire l’objet d’une attention permanente. Voici 9 règles de sécurité informatique incontournables à mettre en place dans son entreprise :
1. Mettre en place une Politique de Sécurité des Systèmes d’Information (PSSI)
Indispensable pour assurer une bonne gestion de la sécurité, la PSSI est en réalité l’un des piliers du bon fonctionnement de l’entreprise dans son ensemble. Avec le développement permanent des technologies et des environnements IT, la PSSI est une composante stratégique qui doit évoluer et s’adapter proactivement.
2. Sensibiliser son personnel
Il est du devoir du dirigeant d’informer et de sensibiliser régulièrement les collaborateurs aux questions de sécurité. La communication interne, les formations ou encore la mise en place d’ateliers sont la seule manière de diffuser les bonnes pratiques et d’inculquer les bons réflexes pour préserver la sécurité de l’entreprise.
3. Sauvegarder ses données et tester leur restauration
L’automatisation des sauvegardes, notamment dans le cloud, ne doit pas donner l’illusion d’une sécurité totale. Faire des sauvegardes physiques et/ou locales reste une approche très pertinente, et peut avantageusement compléter les sauvegardes dans le cloud. Mais quel que soit le type de sauvegarde choisi, il est essentiel de tester, tester et encore tester la restauration des données et la reprise d’activité.
4. Contrôler et protéger tous les terminaux mobiles (laptops et smartphones)
Dans la famille des règles de sécurité informatique, la mobilité est le maillon faible pour presque toutes les entreprises. Elle est aujourd’hui le moyen le plus simple de voler des données. Il est pourtant facile de se protéger, pour peu qu’on lui accorde la même attention qu’aux système classiques.
5. Protéger les données personnelles et professionnelles
Le RGPD impose aux entreprises d’assurer une protection optimale des données de ses clients. Il incite également les entreprises à nommer un Data Protection Officer (DPO), une nomination qui est même obligatoire pour certains secteurs d’activité (immobilier, par exemple). La protection des données est tout aussi importante que celle des systèmes, et l’une ne saurait aller sans l’autre.
6. Gérer les données sensibles
Dans la continuité du point précédent, les données sensibles doivent faire l’objet d’une attention encore plus importante. Car si le non-respect des règles du RGPD peut conduire à des pénalités financières de la part des instances de contrôle, la perte de données sensibles peut être fatale pour l’entreprise.
7. Sécuriser les locaux de l’entreprise
La sécurité ne s’arrête pas au Système d’Information. Une entreprise, aussi numérique soit-elle, c’est aussi des bureaux, des documents papiers, du matériel informatique, etc. La sécurisation des locaux doit demeurer un aspect central, pour se protéger aussi bien des incidents (incendie, inondation, coupure électrique, …) que des actions malveillantes (intrusion, vol, …).
8. Faire des tests de sécurité
L’un des plus grands dangers en matière de sécurité, c’est de croire que tout est en place et que le dispositif est complet. La sécurité n’est pas un sujet statique. Les risques sont de natures très différentes et évoluent sans cesse. Il faut tester très régulièrement, surtout quand il ne se passe rien et que tous les voyants sont au vert.
9. Mettre en place un plan de continuité d’activité
La mise en place d’un PCA (Plan de Continuité d’Activité) ou au moins d’un PCI (Plan de Continuité Informatique) est vital. Dans tous les cas, la clé réside dans l’anticipation et la préparation. Le meilleur des plans de reprise d’activité sera inefficient s’il n’est pas éprouvé avec des tests en conditions réelles et si les rôles de chacun ne sont pas clairement établis (et communiqués !).
Et l’on ne saurait trop conseiller de prévoir un plan B et une solution de repli, au cas où le plan initial serait entravé par un imprévu.
Si le risque 0 n’existe pas pour aucune entreprise, l’application de ces 9 règles de sécurité informatique incontournables permet à minima de limiter les risques, de pouvoir anticiper et rebondir en cas d’attaque et de pouvoir préserver l’une des plus grande richesse de chaque société : les données.