8 conseils pour garantir la sécurité des terminaux en entreprise


Les essentiels de la sécurité en entreprise

Antivirus // 17/08/2015

Protection, Réaction et restauration. Ce sont les trois grands principes pour sécuriser efficacement les terminaux d’une entreprise. Aujourd’hui, nous allons nous attarder sur la partie « Protection » et notamment sur la manière de parer votre environnement de travail contre les menaces.

1.Souvenez-vous que rien ne vaut du matériel, des logiciels et des systèmes d’exploitation sûrs
Ne vous méprenez pas, aucun système d’exploitation ou matériel informatique n’est complètement immunisé contre les menaces. Malheureusement, croire au concept d’un « ordinateur sûr » est une erreur et cette croyance amène des failles de sécurité dans les entreprises. Souvent, les postes de travail que l’on pense sécurisés ne sont pas protégés ni même surveillés. Il y a donc de fortes chances qu’ils soient piratés (ce n’est qu’une question de temps) et qu’ils deviennent une passerelle vers le reste du réseau. Alors souvenez-vous que tous les systèmes d’exploitation, les logiciels installés dessus et toutes les machines qui servent à les faire tourner sont vulnérables. Ils devraient donc tous être protégés et surveillés de près.

2.Utilisez des solutions de sécurité intégrant un système de prévention des intrusions
Pour protéger vos postes de travail efficacement, vous devez vous garantir la meilleure protection possible avec un logiciel antivirus intégrant un système de prévention des intrusions. En d’autres termes, un logiciel capable de surveiller des activités et des comportements suspects de logiciels semblables à des malware. Cela vous permettra de protéger vos postes de travail des malware émergents qui n’ont pas encore été identifiés par les laboratoires de sécurité ni répertoriés dans les bases de signatures. Assurez-vous aussi que votre logiciel de protection intègre une protection en temps réel du réseau, pour diffuser et partager les dernières informations sur les nouvelles menaces à tous les terminaux qui y sont connectés.

3.Utilisez le chiffrement même pour les communications internes
Si le chiffrement est un réflexe pour les communications externes via Internet, c’est aussi une bonne pratique de sécuriser vos canaux de communication même sur le réseau local. Comme nous l’avons dit précédemment, un seul poste de travail piraté représente une menace pour l’intégralité du réseau. Sans compter la triste possibilité d’une attaque venant de l’interne. C’est pourquoi sécuriser tous les canaux de communication devrait être une priorité.

4.Encadrez et sécurisez les pratiques du télétravail et de la mobilité
Protéger les ordinateurs portables et les terminaux mobiles fournis par l’entreprise aux employés les plus mobiles est un défi parfaitement gérable. Par contre, la protection des terminaux appartenant aux employés comme les smartphones, les consoles de jeux, les ordinateurs personnels ou les clés USB reste un gros problème. Par exemple, un employé utilise son ordinateur personnel pour travailler. Cet ordinateur peut avoir des logiciels qui ne sont pas à jour, ou il n’est peut-être même pas protégé du tout, ou d’autres membres de sa famille, qui n’ont aucune notion de sécurité informatique, peuvent l’utiliser. Si cet ordinateur est infecté, il peut infecter tous les terminaux qui s’y connectent. Et si un administrateur informatique de l’entreprise autorise cet ordinateur à se connecter au réseau de l’entreprise, l’infection peut s’y répandre (même à travers un VPN!). Alors oui, c’est le pire des scénarios imaginables, et si on ne se basait que là-dessus on bannirait toute forme de connexion provenant de terminaux externes pour être sûr que rien n’arrive. Mais il faut parfois faire des exceptions…

C’est pourquoi il est judicieux d’équiper vos employés de solutions de sécurité même sur leurs propres ordinateurs, smartphone, ou tablette et effectuer des scans et des audits réguliers. Encore mieux, vous pouvez ajouter ces terminaux dans une console d’administration centralisée pour veiller sur ces appareils plus facilement, comme avec F-Secure Protection Service for Business par exemple.

5.Valorisez et protégez les comptes de vos utilisateurs
Il faut prendre conscience qu’un compte utilisateur n’est pas qu’un moyen de lier une adresse email à un employé. Un compte utilisateur c’est l’ensemble des fichiers, ressources, informations, privilèges et les différents accès réseau qui appartiennent à un utilisateur. Imaginez qu’il s’agisse d’un compte bancaire personnel. Vous pouvez facilement visualiser les impacts qu’auraient un détournement ou un vol de vos droits d’accès à ce compte et les pertes financières que cela entrainerait. Imaginez maintenant que ce compte bancaire puisse aussi donner accès à d’autres comptes ou pire, à tout l’argent de la banque : la recette du désastre. Assurez-vous que vos comptes utilisateurs soient sécurisés, difficiles d’accès et sans aucune valeur pour les hackeurs.

Protéger les comptes utilisateurs signifie de vous assurer que vos employés utilisent des mots de passe uniques et forts et qu’ils les changent régulièrement (vous pouvez aussi utiliser un outil de gestion des mots de passe pour vous aider à créer et stocker des mots de passe forts et uniques). Cela veut aussi dire de paramétrer vos appareils pour qu’ils se verrouillent après quelques minutes d’inactivité.

6.Des droits d’accès, pas d’excès
Gérer les droits d’accès des utilisateurs sur le système d’information ou le réseau de l’entreprise est très important. Les malware exécutent plusieurs types d’opérations pour infecter un système. Par exemple, ils essaient de créer ou de changer des fichiers ou des valeurs de registres, de se copier sur les partages réseau et de créer ou de mettre fin à des processus. Mais pour réaliser ces opérations, un malware a besoin de droits d’accès élevés. Par conséquent, pour minimiser l’impact d’une infection du réseau par un malware, les droits d’accès des utilisateurs doivent être limités à leurs stricts besoins. Les employés doivent avoir assez de droits sur le système pour travailler et accéder aux services dont ils ont besoin pour mener à bien leurs tâches, mais pas plus que nécessaire. Par contre, de telles limitations peuvent provoquer de l’insatisfaction. D’où l’utilité de former vos employés sur les méfaits des malware et la nécessité d’appliquer les politiques de sécurité, pour les aider à comprendre ces restrictions.

Les administrateurs informatiques devraient avoir un compte utilisateur pour lire les emails, naviguer sur le web etc. mais les tâches d’administration devraient être faites sur un compte séparé, voire sur un ordinateur différent, exclusivement réservé à l’exécution de ces tâches. Et pour aller plus loin dans la limitation des attributions, les comptes administrateurs peuvent même être segmentés en différents groupes fonctionnels. Vous devez avoir une vue d’ensemble claire sur les droits et restrictions de chaque compte. Ces mesures vous offrent un meilleur contrôle sur ces comptes  et limitent les chances qu’un scénario catastrophe d’infection généralisée n’arrive.

7.Différents utilisateurs, différents besoins
Plus une entreprise est grande, plus il y a de typologies d’utilisateurs à gérer. Il faut donc prendre en compte leurs besoins pour le travail tout en prenant des mesures pour garantir une sécurité maximale. Par exemple, les besoins pour un logiciel comptable sont complètement différents de ceux pour un logiciel de développement. Cela peut donc engendrer des exceptions de pare-feu ou même l’exclusion de certains fichiers des analyses de sécurité. Utiliser des plug-ins pour les navigateurs web ou les réseaux sociaux au travail peut présenter des risques potentiels pour l’entreprise. Néanmoins, ils sont parfois indispensables pour certains services comme le marketing, la comptabilité et le recherche et la R&D. C’est pourquoi les entreprises devraient limiter leur utilisation, pour éviter les risques d’infection par les malware.

Dans certains cas, séparer les ordinateurs peut être une solution pour réduire les risques d’infections et de propagation. Par exemple, un comptable pourrait effectuer des opérations bancaires en ligne sur un ordinateur différent, ou au moins utiliser un navigateur web différent pour effectuer ces opérations.

8.Formez vos employés et maintenez leur vigilance
Dernière chose, et pas des moindre : Il est extrêmement important de vous assurer que vos équipes soient sensibilisées aux différentes menaces informatiques ainsi qu’aux bons comportements de la sécurité informatique. Si vos employés sont conscients des menaces et de comment les éviter, non seulement ils adopteront de meilleurs comportements, mais en plus ils comprendront mieux les raisons qui vous poussent à restreindre l’utilisation de leur poste de travail. N’hésitez pas à organiser des évènements de partage d’information pour leur expliquer ce qui peut arriver s’ils ne sont pas prudents. Par exemple, formez vos employés aux dangers des réseaux sociaux, aux spams et aux techniques d’hameçonnage, ce que sont les exploits et les dommages qu’ils peuvent causer, et comment les cybercriminels utilisent des techniques d’ingénierie sociale pour infiltrer le réseau de l’entreprise. Il est aussi pertinent de les inciter à regarder leurs factures de téléphone portable pour y déceler des frais suspects, au cas où un malware aurait infecté leur téléphone et enverrait des SMS ou passerait des appels vers des numéros surtaxés.

Envoyer un email de temps en temps pour tenir au courant vous employés des dernières menaces et dernières tendances est aussi pertinent. Cela vous permet, par la même occasion, de faire de la veille pour vous ternir informé des derniers malware en circulation et de leurs tactiques, pour vous préparer à mieux vous protéger !

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s