être rappelé
être rappelé

Catégorie : Sécurité

PME : pourquoi réaliser un audit de sécurité informatique régulièrement ?

Posted on by ValueIT

Dans le cadre d’une stratégie de cybersécurité, réaliser un audit de sécurité informatique est une démarche indispensable pour toutes les entreprises, même les PME.

Les petites et moyennes entreprises sont souvent plus vulnérables que les grands comptes. Elles sont de plus en plus visées par les cyberattaques. En effet, une étude nous apprend qu’en 2017, 79 % des victimes d’une faille de sécurité étaient des PME.

Qu’est-ce qu’un audit de sécurité informatique ? Quand le pratiquer et pourquoi le mettre en place ?

Qu’est-ce qu’un audit de sécurité informatique et en quoi consiste-t-il ?

L’audit de sécurité informatique permet d’identifier les failles du système d’information d’une entreprise. Il évalue également le niveau de sécurité actuel. Cette analyse aide à orienter la stratégie de cybersécurité en fonction des besoins de l’infrastructure existante et des cybermenaces récurrentes.

L’audit vérifie les risques liés aux courriels, aux stations de travail, aux piratages, aux falsifications d’informations et aux erreurs de manipulation.

 

Audit de sécurité informatique pour PME : Identifier et résoudre les failles du système d'information

Quand faut-il effectuer un audit de sécurité informatique ?

Un audit de sécurité est une démarche préventive. Par conséquent, il est essentiel de ne pas attendre qu’un incident survienne pour le mettre en place. La clé d’un système d’information performant et protégé est l’anticipation. Il est également important de réaliser des audits à intervalles réguliers pour suivre l’évolution des attaques et adapter l’infrastructure informatique en fonction des mises à jour nécessaires.

Pourquoi pratiquer un audit de sécurité régulièrement ?

Un système informatique performant est indispensable au bon fonctionnement d’une PME. Cependant, un équipement obsolète et inadapté nuit aux performances du réseau et compromet la productivité de l’entreprise. Il est donc primordial de vérifier périodiquement l’adéquation du système avec les besoins du moment.

Un audit informatique régulier permet de vérifier la productivité des équipements du parc informatique, des systèmes d’exploitation et des logiciels. Il évalue également l’adéquation de chaque poste avec les besoins actuels des utilisateurs.

En adoptant régulièrement des actions correctrices, l’entreprise évite de perdre en rapidité et en efficacité. Cela permet aussi de réduire les risques d’attaques imprévues, pouvant engendrer des conséquences désastreuses, comme le ralentissement de l’activité ou des pertes financières.

Comment réaliser un audit de sécurité informatique en 5 étapes ?

  • Effectuer un pré-audit
    Définir les objectifs et les besoins en sécurité de l’entreprise, et identifier les mesures déjà mises en place.
  • Vérifier la conformité du SI
    Inspecter le système d’information de l’entreprise afin de s’assurer qu’il répond aux normes de sécurité imposées par la législation.
  • Analyser l’infrastructure existante
    L’audit d’infrastructure permet de répertorier tous les équipements informatiques. Il identifie aussi les points d’entrée que les hackers pourraient exploiter pour pénétrer dans le SI. Il est important de vérifier la gestion des sauvegardes, le pare-feu, ainsi que les antivirus et anti-malwares mis en place sur les postes de travail. De plus, il faut vérifier la sécurité du point d’accès Wifi, de la messagerie et de l’anti-spam.
  • Faire un test d’intrusion
    Après avoir repéré tous les points d’entrée potentiels, il faut procéder à un test d’intrusion. Cette phase est cruciale et ne doit omettre aucun des points d’entrées possibles. Avec l’évolution des technologies, les pirates peuvent pénétrer un système d’information via des postes de travail nomades, comme les ordinateurs portables, les tablettes ou les smartphones.
  • Mettre en place une stratégie de sécurité
    Rédiger un rapport de sécurité détaillé permettant à l’entreprise d’effectuer des actions correctrices pour renforcer la sécurité informatique.

Enfin, l’audit ne concerne pas seulement les équipements informatiques, mais aussi et surtout chaque utilisateur. C’est pourquoi il est nécessaire de dispenser une formation sur les règles d’usage sécuritaires. Cela permettra de mieux contrôler les pratiques de chaque collaborateur.

Faire appel à une équipe de spécialistes en cybersécurité pour réaliser un audit informatique permet aux entreprises de bénéficier d’une expertise et d’un conseil de qualité. L’audit de sécurité est une démarche essentielle pour identifier précisément les failles du SI et y remédier efficacement, en mettant en place une stratégie de cybersécurité fiable et adaptée aux besoins de l’entreprise.

Comment mettre en place un plan de reprise d’activité ?

Posted on by ValueIT

Gérer le risque de panne informatique est devenu une nécessité pour les dirigeants d’entreprise.  Il existe des lors 2 manières de gérer ce risque. La première approche consiste à réduire sa probabilité, par l’entretien et la maintenance régulière du système informatique. La seconde est de prévoir un plan qui permettra, en cas de panne, de redémarrer dans un délai maîtrisé.  En quoi cela consiste t-il exactement  ? Quelle approche adopter ? Voici un aperçu des étapes à suivre pour une entreprise qui souhaite mettre en place un plan de reprise d’activité

Le plan de reprise d’activité (PRA): qu’est ce que c’est ?

Le Plan de Reprise d’Activité  (PRA) est un plan prévu en amont de tout problème, qui permettra à l’organisation touchée par un sinistre informatique de récupérer les données nécessaires à son fonctionnement et de réactiver les services perdus.  Le plan va changer du tout au tout selon l’ampleur de la panne envisagée et aussi en fonction du délai qu’elle souhaite respecter pour reprendre une activité normale. Un tel plan comporte deux volets principaux : un volet technique,  qui vise à définir les dispositifs techniques qui permettront aux systèmes de redémarrer, mais aussi un volet organisationnel qui vise à définir les rôles de chacun en cas de panne.

Quelles sont les conséquences d’un sinistre informatique sur une entreprise ?

Pour bien des entreprises , la panne informatique rime avec arrêt pur et simple d’une partie des activités et du travail des équipes.  Sans accès au réseau, aux applications ou aux outils de communication, les échanges  de l’entreprise, en interne et en externe, sont tout simplement paralysés.  Et cet arrêt se prolonge tant que les systèmes n’ont pas redémarré.

Mais les impacts d’une panne informatique dépassent la simple perturbation opérationnelle et le temps perdu par des équipes privées d’outils informatiques.

Quand l’arrêt se prolonge,  les effets de la panne se ressentent  à plusieurs niveaux.

  • Impact commercial :  En cas de panne prolongée, les clients peuvent reporter leur commandes, et même se tourner vers d’autres fournisseurs.
  • Impact financier : l’impact financier se mesure par les périodes d’inactivité, par les revenus perdus pendant la panne, et par les coûts liés à la remise en route du système.
  • Impact Juridique : dans certains secteurs, les entreprises s’exposent à des sanctions pour non-respect d’obligations réglementaires
  • Impact sur l’image et la réputation : L’impossibilité d’une entreprise à reprendre une activité normale peut considérablement entacher la réputation ou l’image de l’entreprise.

Une étude « Evolve » montre à quel point les pannes sont fréquentes  et dans quelle mesure ces pannes peuvent aller jusqu’à menacer la survie de l’entreprise. 30% des entreprises ont fait face à un incident réclamant le recours à un PRA. Pour celles n’ayant pu rétablir leur service dans les 10 jours suivants l’incident, les conséquences sont même fatales : 93% des entreprises ayant perdu leur données plus de 10 jours, ont fait faillite dans l’année suivant le sinistre. Pour les dirigeants d’entreprise, la mise en place d’un PRA relève donc de la gestion des risques et un tel plan ne peut être ignoré.

Comment mettre en place un plan de reprise d’activité en 7 étapes ?

Pour que le PRA soit efficace il convient d’adopter une démarche logique en définissant en amont les besoins de l’entreprise. La finalité du PRA est de permettre à cette dernière de redémarrer son activité dans un délai maîtrisé. Voici un plan regroupant les 7 étapes clés pour y parvenir sereinement.

Etape 1 : Clarifier les besoins opérationnels liés à l’activité

Quel est la conséquence d’une demi-journée de travail perdue ? Le retard pris est il rattrapable ?  Quelle serait la réaction de vos clients s’ils ne pouvaient pas commander vos produits ? Vont ils simplement reporter leur commande ou changer de fournisseur ?  Ces questions doivent être abordées au cas par car pour cerner les contraintes de votre activité. 

Etape 2 : Faire une analyse des risques et des pannes possibles 

On distingue trois grands types de risques  : 

  • Les risques matériels et logiciels : il s’agit des pannes de serveurs ou de dysfonctionnement matériel ou logiciel grave 
  • Les risques de cyber-attaques : Il s’agit des attaques sous différentes formes (virus, attaque DDOS…)
  • Les risques externes :  incendies, inondations, ou catastrophes naturelles entraînant la panne du système d’information

Etape 3 : Définir la criticité des environnements applicatifs

Deux paramètres principaux sont fixés pour évaluer les besoins de sauvegarde, de réplication et de restauration, et ce pour chaque applicatif :

  • le RTO (Recovery Time Objective) : combien de temps faut il pour restaurer la sauvegarde 
  • et le RPO (Recovery Point Objective) : A quelle date la sauvegarde permet elle de remonter ?  

Des objectifs différenciés pourront être fixés précisément en fonction de la criticité des applications et les besoins opérationnels de l’entreprise. 

Etape 4 : Définir les priorités et de le coût de reprise 

Les dispositifs de sauvegarde et de reprise ont des caractéristiques et des coûts différents. Les dispositifs permettant un redémarrage rapide sont aussi les plus couteux.  Pour limiter le cout du PRA, il est fondamental de segmenter les différents systèmes et de définir pour chacun un niveau acceptable d’indisponibilité. Cette approche permettra de réserver les dispositifs les plus couteux aux applications et aux services vitaux à l’entreprise.

Etape 5 : Choisir l’équipement de sauvegarde et de reprise d’activité

Là aussi une multitude d’options s’offrent aux entreprises, en termes de caractéristiques techniques et de coûts. Une approche segmentée permettra également de choisir des équipements de sauvegarde  hébergés sur un site de secours, dans un datacenter ou via le Cloud, adaptés à chacun des composants de votre système. 

Etape 6 : Mobiliser les équipes et définir les rôles de chacun.

En cas de panne, l’un des points fondamentaux est d’avoir un plan précisant le qui fait quoi, dans quel ordre et dans quel délai. Ces procédures permettent de prévoir comment organiser et mobiliser les équipes pour agir efficacement en cas de sinistre.

Etape 7 : Tester régulièrement le plan de reprise et le faire évoluer

Un peu à l’image des simulations incendie, il est recommandé d’exécuter le PRA au moins une fois par an. L’objectif est de simuler une situation extrême et de mettre en oeuvre le plan prévu. Un autre point important est de veiller à faire évoluer le PRA au fur et à mesure, car le système d’information ne reste pas figé : de nouvelles applications et services sont ajoutés en continu au cours de la vie de l’entreprise. 

Etre accompagné par des experts 

Mettre en œuvre un plan de reprise  d’activité est une démarche qui engage l’entreprise et qui peut s’avérer primordial. Un tel projet ne s’improvise pas et nécessite une approche méthodique. Etre accompagné par un spécialiste permettra de bénéficier d’un savoir faire dans plusieurs domaines : l’expérience des meilleures pratiques acquises sur différents projets, la connaissance des solutions technologiques disponibles, l’expertise et le conseil pour créer une solution sur mesure et la possibilité d’assurer un suivi en fonction de l’évolution du système et des besoins de l’entreprise. 

Pour aller plus loin

Découvrez notre offre complète de services : plan de reprise d'activité, plan de continuité d’activité et sauvegarde de vos données

Cyberattaques : Pourquoi les PME sont-elles des cibles privilégiées pour les hackers ?

Posted on by ValueIT

Au cours des dernières années, les grandes entreprises ont investi massivement dans leur cybersécurité pour contrer les cyberattaques. Face à des mesures de plus en plus strictes, les hackers se tournent vers les petites et moyennes entreprises (PME). Moins préparées, elles constituent des cibles plus faciles.. 

Les cyber-attaques visant les PME : un phénomène en constante progression

Les cyber-attaques sont devenues un phénomène de masse. En 2015, plus de 80 % des entreprises étaient visées. Le nombre d’attaques double chaque année. Les PME ne sont pas épargnées : une étude de 2019 montre que 66 % d’entre elles ont subi une faille de sécurité.

Quelles sont les cyberattaques qui touchent le plus les PME ?

Le phishing

En tête des menaces, on retrouve le phishing. En 2018, cette attaque représentait 73 % des cyberattaques subies par les entreprises françaises. Les hackers utilisent principalement l’e-mail comme porte d’entrée pour infiltrer les systèmes d’information.

Le Ransomware

Plus difficile à détecter, le ransomware se cache dans le système à l’insu de l’utilisateur. Il bloque ou crypte des fichiers, et le hacker réclame une rançon pour les libérer.

Le DDOS

Le DDoS est une attaque facile à lancer, visant à surcharger un serveur ou un réseau jusqu’à le rendre inaccessible. Là aussi, une rançon est demandée pour arrêter les dégâts.

Dresser un panorama complet des menaces est un défi, car les cyber-attaques évoluent constamment. Les cybercriminels trouvent chaque jour de nouvelles cibles, telles que les voitures, les smartphones ou les objets connectés.

Pourquoi les PME sont-elles particulièrement vulnérables aux cyberattaques ?

Les grandes entreprises ont longtemps investi dans la cybersécurité, consacrant 20 % de leur budget informatique à la protection. En revanche, les PME sont souvent négligées par les hackers. Bien que les gains soient moindres, la probabilité de succès est plus élevée.

Si Les hackers restent attirés par les trésors numériques des grands entreprises, ils ont rapidement compris que ces dernières étaient sur leurs gardes. Ils se tournent alors désormais vers les PME. Si les gains y sont moindres, la probabilité de succès est beaucoup plus élevée. 

Plusieurs raisons expliquent que les PME sont plus vulnérables et exposées :

  • Tout d’abord,  la croyance répandue au sein des PME, que seules les grandes entreprises sont visées par les  cyber-attaques Les PME pensent, à tort, ne pas être attrayantes pour les hackers. 
  • Deuxième raison, l’absence de moyens financiers et humains, consacrés à la cybersécurité: Une PME consacre en priorité ses ressources à son cœur de métier – vente production service au client – et avoir un responsable sécurité  ou une politique de sécurité passe au second plan.
  • Enfin, les modes de fonctionnement des  PME sont moins formels ce qui implique davantage de risques : partage de mots de passe entre collaborateurs, absence de procédure restreignant l’accès de données sensibles. 

Les PME particulièrement fragilisées en cas d’attaque

Plus exposées et vulnérables face aux menaces, les PME sont aussi beaucoup plus démunies pour faire face aux conséquences.  Bien souvent les cyberattaques sont l’occasion de constater l’absence de backup fiable, de plan de reprise ou de continuité d’activité. Les PME sont paralysées et subissent alors des pertes considérables : chute du chiffre d’affaires, crédibilité et réputation entachée, poursuites judiciaires… En définitive, les cyber-attaques s’avèrent souvent désastreuses pour ces petites structures. Les chiffres parlent d’eux-mêmes : on estime que 70 % des PME victimes d’un grave incident de sécurité déposent le bilan dans les trois ans. 

Pour passer à l’action, la 1ère étape est d’effectuer un audit de sécurité informatique

Face à des dangers d’une telle ampleur, les PME se doivent de gérer activement leur cybersécurité et d’y consacrer des ressources. Pour un dirigeant de PME qui souhaite passer à l’action, la première étape consiste en priorité à effectuer un audit de sécurité informatique par un prestataire spécialisé.  L’objectif est d’analyser le système et les données dans son intégralité afin d’identifier précisément les données sensibles, les points de fragilité du système d’information. A l’issue de l’audit de sécurité informatique, des recommandations sont formulées pour réduire les risques.  Il convient ensuite de réévaluer périodiquement le niveau de sécurité du SI pour deux raisons : d’une part pour adapter les dispositifs aux nouvelles menaces, mais surtout pour inscrire la cybersécurité durablement dans les habitudes de travail. 

Pour aller plus loin

Découvrez notre offres complète de services : Audit de Sécurité, test d’intrusion, authentification à double facteur, Firewall, anti spam, anti-virus, plan de reprise d'activité et plan de continuité d’activité