Qualité Références n° 53

More documents

Recommendations

Info

SYSTÈMES D’INFORMATION ET QUALITÉ Menaces sur les systèmes d’information Votre entreprise est-elle bien protégée ? Pour vous assurer que vous êtes correctement protégé contre les cybermenaces. La liste de contrôle ci-dessous peut servir à vérifier si la sécurité informatique est à la hauteur dans votre entreprise. Il convient d’en suivre toutes les étapes. Etape 1 : analyse de vos systèmes informatiques Aujourd’hui, la protection des valeurs d’une entreprise contre les multiples menaces existantes nécessite un concept de sécurité approprié. Or ce dernier ne peut être élaboré que si vous savez ce qui doit être protégé. La première étape dans la création du dispositif de sécurité adéquat consiste donc à analyser les systèmes informatiques en place. Le mieux est de constituer une équipe de projet spécialement dans ce but. Pour commencer, il est préférable d’en rester aux généralités, en définissant lesfonctions et les tâches réalisées par vos réseaux de données et systèmes informatiques. L’étape suivante s’intéressera aux services et applications. Acestade, ilconviendra de définir clairement les tâches et d’évaluer le degré de dépendance de l’activité vis-à-vis des différents éléments recensés. A l’issue de cette étape, établissez une liste des priorités indiquant distinctement quels systèmes informatiques demandent le plus de protection et lesquels sont de moindre importance. Etape 2 : protection du réseau de l’entreprise Dans la plupart des entreprises, le pare-feu (firewall) est le principal système de protection et le plus évident. L’essentiel est que, dans la mesure du possible, lesapplications utilisées soient détectées automatiquement et fonctionnent sans nécessiter un important travail de configuration. Dans le même temps, un firewall dernier cri intègre un système de détection et prévention des intrusions. Il importe cependant que le firewall ne sécurise pas uniquement le réseau de l’entreprise. En fait, de nombreuses entreprises ont des collaborateurs de terrain qui accèdent à distance à leur messagerie et aux logiciels de la société. Le firewall se doit de rendre cet accès rapide et facile. Suivant les applications, les logiciels de protection des accès réseau doivent être compatibles avec les protocoles Cisco ou Microsoft. Ainsi, les ordinateurs distants peuvent se voir autoriser ou refuser l’accès au réseau en fonction de leur statut de sécurité. Etape 3 : protection de tous les serveurs Dans de nombreuses entreprises, la priorité numéro un du firewall est de protéger lesserveurs les plus importants. Or tous vos serveurs doivent être incorporés à votre concept de sécurité : passerelle Internet, messagerie Exchange, SharePoint ou simple serveur de fichiers. En effet, si un programme malveillant (malware) infecte un serveur, il y gagne la capacité de se propager rapidement car les serveurs sont au cœur de l’infrastructure informatique d’une entreprise et sont reliés à plusieurs postes detravail. A cet égard, Kaspersky Total Space Security, par exemple, est une solution de sécurité qui assure la protection de chaque serveur. Etape 4 : impératifs de sécurité supplémentaires pour les serveurs Il n’existe pas deux serveurs identiques. La consommation de ressources sera d’autant plus réduite qu’un composant de sécurité est optimisé pour les tâches d’un serveur donné. En matière de messagerie, par exemple, il est vital que les e-mails soient analysés en temps réel et les messages de phishing éliminés en toute fiabilité. Un traitement rapide des entrées-sorties est donc indispensable. Dans le cas d’un serveur de fichiers, certains processus doivent être spécifiquement exclus de l’analyse antivirus, notamment lorsqu’il s’agit d’une sauvegarde périodique. Les utilisateurs de serveurs de clusters, de virtualisation ou de terminaux doivent également veiller à employer des composants de sécurité supplémentaires adaptés. Etape 5 : prise en compte des composants hétérogènes Une idée reçue veut que seuls les systèmes Windows soient vulnérables aux attaques informatiques. Grave erreur! En fait, toutes les autres plates-formes (serveurs de fichiers Linux, postes clients Mac…) doivent également être prises en compte dans votre stratégie de sécurité. Après tout, la robustesse de votre chaîne de sécurité est tributaire du maillon le plus faible et, dans la pratique, peu importe qu’un malware s’infiltre dans le réseau de l’entreprise via le PC Windows de la secrétaire ou leMacBook du graphiste : le résultat est le même. Etape 6 : protection des ordinateurs de bureau et portables Il va sans dire que les ordinateurs de bureau et portables ont eux aussi besoin delogiciels de sécurité adaptés, comprenant au minimum un scanner de virus pour Windows, mais aussi pour Linux et Mac OS X, le cas échéant. Outre cette protection contre les malwares, un firewall de bureau est nécessaire pour sécuriser davantage encore les communications entre postes de travail. Des solutions pratiques telles que Kaspersky Anti-Virus analysent en temps réel le contenu des clés USB et des e-mails. Etape 7 : protection des smartphones Depuis plusieurs années déjà, les spécialistes de la sécurité informatique tels que Kaspersky Lab intègrent les smartphones en standard dans leurs solutions. QUALITÉ RÉFÉRENCES ➤ JUILLET, AOÛT, SEPTEMBRE 2011 ➤ PAGE 50
SYSTÈMES D’INFORMATION ET QUALITÉ Aujourd’hui, les smartphones sont d’usage courant chez la majorité des cadres, c’est pourquoi ils doivent faire partie intégrante de la stratégie de sécurité d’une entreprise. En effet, cesont non seulement des outils de communication, mais ils servent de plus en plus à accéder à distance aux ressources informatiques de l’entreprise. Les services informatiques ont besoin d’un outil offrant des fonctions de protection qui permettent decontrôler les smartphones même en cas de perte ou de vol. Si un smartphone a été égaré, par exemple, un SMS par défaut peut être adressé discrètement à la carte SIM d’origine et tout son contenu effacé. Il doit également être possible d’effacer à distance les données stockées dans la mémoire interne du téléphone. Une autre fonction précieuse en matière de sécurité est le blocage des informations personnelles del’abonné en cas de vol du smartphone et de retrait de la carte SIM. Kaspersky Endpoint Security for Smartphones est une solution qui englobe toutes ces fonctionnalités. Etape 8 : centralisation de l’administration En règle générale, abstenez-vous d’acheter des logiciels de protection sans avoir consulté votre administrateur. En effet, la gestion d’une solution de sécurité complexe revêt autant d’importance pour la sécurité que la qualité du moteur d’analyse. Il est donc impératif d’utiliser une console de gestion interne ou un outil d’administration existant tel que Microsoft Management Console. Pour compléter votre système de gestion centralisée de la sécurité, il est nécessaire d’y adjoindre un outil de suivi comportant une fonction de reporting. Les administrateurs doivent être en mesure d’accéder avec rapidité et facilité aux informations concernant les processus prédéfinis. D’un simple coup d’œil sur la console, l’administrateur doit être immédiatement informé du statut de sécurité à un instant donné. Etape 9 : élaboration d’un plan d’action d’urgence En complément d’une stratégie de sécurité adéquate, un plan d’action d’urgence est luiaussi nécessaire. Le meilleur moyen de décider quels éléments y inclure consiste àeffectuer une analyse de risques au sein de votre entreprise. Cette analyse doit examiner de près ce qui doit se passer en cas de défaillance de certains processus. Si vous avez de bonnes raisons de soupçonner un vol de données passé ou en cours dans l’entreprise, par exemple, prenez les mesures suivantes : • Informez immédiatement la direction. • Ne faites part à personne d’autre de vos soupçons. • Contactez un professionnel des enquêtes informatiques. • Ne tenez en aucun cas de mener votre propre enquête. • Dressez la liste de tous les systèmes susceptibles d’avoir été touchés. Etape 10 : test du plan d’action d’urgence et de la stratégie de sécurité Bien entendu, nous préférerions que ces situations d’urgence ne se produisent jamais. Il vaut mieux cependant toujours se préparer au pire. Tout comme un exercice anti-incendie, votre plan d’action d’urgence informatique doit être exécuté tous les six mois. Votre stratégie de sécurité doit être actualisée à la même fréquence, car lesbesoins informatiques de la majorité des entreprises évoluent constamment ■ (www.kaspersky.com/fr) QUALITÉ RÉFÉRENCES ➤ JUILLET, AOÛT, SEPTEMBRE 2011 ➤ PAGE 51
Page 1: 3 JUILLET - AOUT - SEPTEMBRE 2011 T
Page 5 and 6: ÉDITORIAL Retour aux fondamentaux
Page 8 and 9: ACTUALITÉS MARCHÉ Le secteur fran
Page 10 and 11: ACTUALITÉS LA QUALITÉ DANS LA FOR
Page 12 and 13: ACTUALITÉS ISO 26000 ET RSE DNV é
Page 14 and 15: ACTUALITÉS CERTIFICATION A Rennes,
Page 16 and 17: ACTUALITÉS DOUBLE CERTIFICATION Sc
Page 18 and 19: QUALITÉ ET MANAGEMENT Focus L’au
Page 20 and 21: QUALITÉ ET MANAGEMENT Focus L’au
Page 22 and 23: QUALITÉ ET MANAGEMENT Services pub
Page 24 and 25: QUALITÉ ET MANAGEMENT - Adapter l
Page 26 and 27: QUALITÉ ET MANAGEMENT La méthode
Page 28 and 29: QUALITÉ ET MANAGEMENT Hygiène et
Page 30 and 31: QUALITÉ ET MANAGEMENT performance
Page 32 and 33: Améliorer la performance, réduire
Page 34 and 35: DOSSIER des résistances souterrai
Page 36: DOSSIER et est appelée à trouver
Page 39 and 40: DOSSIER théorique pour réfléchi
Page 41 and 42: DOSSIER du bon geste à réaliser.
Page 43 and 44: DOSSIER Efficience industrielle Don
Page 45 and 46: DOSSIER Analyse de risques De la ge
Page 47 and 48: SYSTÈMES D’INFORMATION ET QUALIT
Page 51: Publi-rédactionnel Editeur de logi
Page 55: SYSTÈMES D’INFORMATION ET QUALIT
Page 61: SYSTÈMES D’INFORMATION ET QUALIT
Page 65 and 66: OUTILS DR DR DR la performance des

Qualité Références n° 53

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?