Plus de sécurité pour les systèmes informatiques des petites et
Contents
1. e Les documents papier doivent tre conserv s en lieu s r c est dire sous cl e Lorsqu ils ne servent plus les documents papier au contenu confidentiel doivent tre soigneusement supprim s dans un destructeur e Les conversations doivent galement tre trait es dans la confidentialit comme par exemple lors Trucs et astuces e Vos documents papier doivent tre class s eux aussi e A partir du moment o l on travaille sur des infor mations confidentielles on doit tre quip d un destructeur de document e Conservez vos documents dans un lieu s r dans une armoire de rangement avec serrure 14 de propos chang s en public Avisez vos collabo rateurs de la n cessit de rester discret dans les espaces ouverts au public afin d viter les risques de fuites d informations confidentielles e Attirez l attention de vos collaborateurs sur les aspects de l ing nierie sociale Social Engineering en anglais pratique consistant manipuler des personnes dans l objectif d en tirer des informa tions prot g es et de l espionnage Les probl mes de confidentialit ne doivent jamais tre trait s la l g re ou de fa on irr fl chie Conservez les documents confidentiels dans une armoire fermant cl ou au coffre qu il s agisse de documents sur support papier ou sauvegard s sur des supports de stockage amovibles www infosurance ch Sensibilisez vos collaborateurs Vos coll2. e d Internet et de la messagerie lectronique utilisation de l antivirus classement des documents La version papier ne suffit pas Vos collaborateurs doivent tre r guli rement sensibilis s au prob l me de la s curit R glementez la gestion des mises jour de s curit et des logiciels antivirus cf points n 3 et 5 R glementez l utilisation de la messagerie lec tronique interdiction de transmettre des donn es confidentielles de transf rer des messages sur les bo tes de messagerie priv es de diffuser les cha nes de lettres etc D finissez le mode de gestion des donn es et infor mations confidentielles et organisez un archivage s curis de vos fichiers D finissez la proc dure suivre en cas d incident li la s curit ex alertes virus vol ou perte d appareils portables ou de mots de passe Informez vos collaborateurs des sanctions aux quelles ils s exposent s ils ne respectent pas ces directives Prot gez l environnement de vos infrastructures informatiques Savez vous qui entre et qui sort de votre entreprise chaque jour Quelques dispositions suffisent pour viter que n importe qui puisse acc der des informations commerciales importantes Un syst me de s curit visible est aujourd hui un crit re de qualit qui ne manquera pas d inspirer confiance vos clients et vos fournisseurs A quoi bon s quiper du meilleur pare feu si des inconnus peuvent s introduir
3. temps Impliquez vos fournisseurs et fabricants dans l laboration des plans d urgence cf point n 18 19 Diffusez le Savoir faire Dans les PME de plus petite taille les connaissances informatiques strat giques sont souvent d tenues par une seule et m me personne En cas d absence ou de d part de cette derni re l entreprise risque de se trouver en difficult e Le savoir strat gique repose sur la capacit con figurer faire fonctionner et entretenir les syst mes informatiques d une entreprise e La maladie un accident un d c s ou le d part de votre responsable informatique peut provoquer la perte de ce pr cieux savoir Trucs et astuces e Veillez ce que les proc dures et syst mes impor tants fassent l objet d une documentation appro pri e Cela facilitera les successeurs et nouveaux collaborateurs se rep rer rapidement e Cette documentation contiendra notamment une liste des utilisateurs des groupes et des diff rentes autorisations cf point n 12 le plan du r seau les configurations syst me la description des installa tions les concepts les proc dures de travail et la description des postes d int r t strat gique pour la s curit Proc dez r guli rement la mise jour de cette documentation Faites en sorte que le savoir strat gique soit do cument et partag par plusieurs personnes Utilisez un syst me de nommage unitaire dans le cadre de la documentati
4. www edoeb admin ch et sur le site du pr pos la protection des donn es du canton de Zurich http www datenschutz ch L analyse des besoins de protection propos e par l Unit de strat gie informatique de la Conf d ra tion USIC vous aidera d valuer convenablement vos besoins en la mati re http www isb admin ch themen sicherheit 00151 00174 index html 11 Reglementez la protection de l acc s aux donn es Mettez votre entreprise l abri des acc s non autoris s et prot gez vos donn es pour que seules les personnes habilit es puissent y acc der e Quiconque acc de des donn es sans autorisa tion est susceptible de les consulter de les copier de les modifier ou de les supprimer ce qui peut avoir des cons quences d sastreuses Imaginez un peu que votre offre commerciale tombe entre de mauvaises mains que votre fichier clients soit effac ou que les r sultats de vos recherches atter rissent sur le bureau de votre concurrent e Etablissez qui est habilit acc der telles ou telles ressources informatiques ou informations Trucs et astuces e introduisez un syst me de classement des don n es e Les droits d acc s seront tablis chaque fois par la personne responsable e Le r gime des autorisations doit faire l objet d une documentation Il s agit de consigner pour chacun de vos collaborateurs la fonction occup e au sein de l entreprise et les droits d acc s co
5. jour de s cu rit disponibles Installez les mises jour uniquement pour les ver sions des logiciels que vous utilisez et les applications sont en mesure de t l charger automatiquement les mises jour sur Internet Les sites Internet des fabricants de logiciels et le manuel d utilisation vous fourniront ce sujet une aide utile Soyez le moins vuln rable possible et n installez donc que les programmes dont vous avez vraiment besoin et d sactivez les services validations de r seaux et autres protocoles inutiles Ce qui n existe pas ne peut tre pirat et ne n cessite pas de maintenance Si vous m me d couvrez des points faibles ou si le logiciel r pond de fa on inattendue il convient d en informer le fabricant Installez les patchs sur touts les ordinateurs fixes et portables y compris ceux de vos collaborateurs externes Etablissez une liste pour recenser quelles mises jour ont t install es et sur quel ordinateur Pour t l charger les toutes derni res mises jour des produits Microsoft www windowsupdate com www infosurance ch Choisissez des mots de passe compliqu s Il suffit de conna tre le nom et le mot de passe d un utilisateur pour se connecter dans un syst me sa place et abuser de son identit informatique et de tous ses droits d acc s Le vol de mots de passe permet aux cyberpirates d acc der peu de frais des informations commerciales confidentielles
6. mesure de protection prendre est d quiper l ordinateur d un scanner de virus Zombie ordinateur contr l l insu de son utilisateur par un cracker par ex Un zombie est l origine g n ralement infest par cheval de Troie et destin attaquer d autres ordinateurs connect s Internet www infosurance ch InfoSurance c o Hochschule Luzern Wirtschaft Zentralstrasse 9 T 41 41 228 41 92 mail infosurance ch Institut f r Wirtschaftsinformatik IWI CH 6002 Luzern F 41 41 228 41 71 www infosurance ch
7. votre r seau doivent tre contr l es par un pare feu Prot gez la configuration de votre pare feu avec un mot de passe complexe Sauvegardez r guli rement la configuration du pare feu central Effectuez r guli rement les mises jour de vos logiciels Contr lez vous r guli rement le niveau d huile et la pression des pneus de votre voi ture C est souhaitable De la m me mani re que vous entretenez r guli rement votre voiture vous devez veiller ce que les programmes informatiques de votre entreprise soient r guli rement mis jour pour tre toujours au top niveau e Les logiciels actuels contiennent souvent des mil e La plupart du temps les syst mes d exploitation lions de lignes cod es Or malgr les contr les il arrive parfois qu une erreur se faufile travers ces lignes Pour un fabricant il est pratiquement im possible de tester chaque application dans tous les environnements et configurations possibles C est pourquoi les fabricants proposent r guli rement des patchs correctifs qui permettent de rattraper les erreurs connues Si vous ne mettez pas jour r guli rement vos programmes des cybercriminels peuvent exploiter des failles connues pour manipuler des donn es ou abuser de votre infrastructure des fins peu scrupuleuses Trucs et astuces Installez les tout derniers patchs correctifs de vos syst mes d exploitation et applications Installez d s que possible les mises
8. Faites en sorte qu on ne puisse usurper des identit s au sein de votre entreprise e Les mots de passe permettant d acc der aux ordi nateurs syst mes d exploitation et applications de votre entreprise doivent tre modifi s imm diat ement par le responsable informatique cf Point n 1 e Invitez vos collaborateurs choisir des mots de passe compliqu s qu ils devront changer r gu li rement Ils doivent tre conscients du fait qu ils seront tenus responsables des actions commises sous leur nom d utilisateur e Les mots de passe complexes sont compos s d au moins 8 caract res dont des majuscules des minu scules des chiffres et des caract res sp ciaux Trucs et astuces e N utilisez aucun mot de passe pouvant se trouver dans un dictionnaire e N utilisez pas de mots de passe contenant des le nom le num ro de passeport ou d AVS ou la date de naissance d un de vos proches e Contr ler le niveau de s curit de votre mot de passe avec un testeur de mots de passe e Changer de mot de passe au moins tous les deux mois L id al est que ce soit le syst me vous de mander de le faire e Voici comment cr er un mot de passe compliqu Exemple n 1 prenez un mot simple comme nuage intercalez un caract re sp cial intro duisez des majuscules et compl tez par un chiff re correspondant au mois courant Vous obtenez ainsi un mot de passe complexe Nu aGe04 Exemple n 2 partir d une phr
9. L Scanner de virus programme permettant de d tecter et d liminer les virus et autres parasites informatiques Voir galement antivirus et malware SCI sigle de Syst me de Contr le Interne d crit l art 728 a CO ensemble des mesures de contr le au sein de l entreprise pour la r alisation de ses objectifs Serveur dans un r seau informatique le serveur est l ordinateur qui met des services la disposition d autres ordinateurs Clients comme par exemple le serveur de mes sagerie lectronique Signature num rique signature permettant d authentifier irrevocablement l auteur d un document lectronique Spam courrier lectronique non sollicit envoy en masse sous forme de lettre cha ne ou de publicit pour des produits ou services douteux Pour se prot ger il existe des filtres anti spam qui permettent de bloquer les courriers ind si rables Spyware sorte de malware dont la fonction est d espionner l utilisateur d un ordinateur Gr ce ce logiciel espion les cybercriminels peuvent observer en particulier Son compor tement sur Internet voire m me lire les touches qu il tape sur le clavier attention au vol de mot de passe Pour se prot ger il convient d utiliser r guli rement un scanner de spyware Syst me d exploitation syst me d exploitation parfois not SE ou OS abr viation du terme anglais Operating Sys tem Il s agit d un ensemble de programmes sp ciaux per mettant de faire
10. aborateurs n appliqueront les mesures de s curit que s ils sont sensibilis s au probl me Expliquez leur la raison de ces mesures et le comportement adopter lorsqu ils ont traiter des donn es confidentielles Faites leur signer le cas ch ant un accord de confidentialit e Vos collaborateurs qu ils soient internes ou ex ternes l entreprise manipulent souvent des don n es confidentielles Ces personnes doivent donc avoir bien clair l esprit les mesures adopter pour garantir la confidentialit des informations trait es e Incluez une clause de confidentialit dans le con trat de travail de vos collaborateurs De m me cr ez un cadre contractuel pour r gir vos rapports Trucs et astuces e Sensibilisez les nouveaux collaborateurs d s leur embauche aux questions li es la s curit de l information e La sensibilisation est un processus qui s inscrit dans le temps d o la n cessit d organiser r gu li rement des campagnes sur ce th me travers www infosurance ch avec collaborateurs externes et partenaires Cet accord de confidentialit fixe les r gles relatives la protection et l utilisation des informations confidentielles Attirez leur attention sur les con s quences d une infraction ces r gles Informez les personnes concern es sur le cadre juridique par ex la loi sur la protection des don n es notamment de formations sondages circulaires d information br
11. ase comme Nous avons pass deux jours Paris vous pouvez tirer le mot de passe Nap2j P en mettant la suite la premi re lettre de chaque mot et les chiffres Il sera plus facile de m moriser une phrase qui a du sens plut t qu un mot de passe cryptique N crivez jamais vos mots de passe sur un bout de papier moins de le conserver sous cl Beaucoup d utilisateurs laissent leurs mots de passe dans un rayon d un m tre de leur ordinateur Ne communiquez jamais votre mot de passe des tiers Une personne peut tre remplac e sans qu elle doive n cessairement r v ler son mot de passe Si vous constatez qu un tiers conna t votre mot de passe modifiez le imm diatement Pour v rifier le niveau de s curit de votre mot de passe https passwortcheck datenschutz ch www infosurance ch Prot gez vos appareils portables Les t l phones mobiles ordinateurs portables et assistants personnels en connexion WLAN sont la fois pratiques et multit ches Mal employ s ces appareils repr sentent cependant un risque important Aussi quiconque est tenu pour des raisons profes sionnelles de stocker des donn es sensibles sur un appareil portable doit prendre des mesures sp ciales e Tous les ordinateurs portables doivent tre prot g s par un mot de passe compliqu cf Point n 6 Sinon n importe qui pourrait acc der aux donn es commerciales de votre entreprise en cas de perte ou de
12. bien Mais la direction doit elle aussi contribuer activement pour garantir une protection de base efficace e Toute entreprise a besoin d un responsable infor matique et de son rempla ant Les connaissances n cessaires pour occuper un tel poste peuvent tre acquises lors d une formation sp cialis e Il arrive aussi souvent que les petites entreprises fassent appel des sp cialistes externes Pour l entreprise cela repr sente bien s r un co t mais bien moindre compar aux cons quences d une perte des donn es ou de la violation de la loi sur la protection des donn es e La direction d l gue officiellement les questions de s curit au responsable informatique et d finit ses t ches dans un cahier des charges cf ci dessous Trucs et astuces e Sauvegardez r guli rement vos donn es sur des serveurs stations de travail notebooks et autres appareils portables cf point n 2 e Effectuez les derni res mises jour de vos sys t mes d exploitation programmes antivirus pare feux et autres logiciels cf points n 3 4 et 5 e Modifiez imm diatement les r glages de mots de passe internes sur les ordinateurs syst mes d exploitation et programmes d application e Etablissez une liste de tous les ordinateurs de l entreprise en pr cisant les programmes install s et les mises jour effectu es cf point n 5 e D terminez les droits d acc s de vos collabora teurs aux diff rents programmes et don
13. ciales confidentielles relevant de la loi sur la protection des donn es e Pour les r seaux d entreprise d une certaine taille il est recommand d adopter un pare feu auto nome appareil sp cial ainsi qu un pare feu int gr dans le syst me lui m me pour les diff rents ordinateurs fixes et portables e Vous trouverez dans le commerce des produits faisant la fois office de pare feu et d antivirus Ces produits combin s sont particuli rement in diqu es pour les petites entreprises Trucs et astuces e Installez un pare feu et effectuez r guli rement les mises jour e Tout le trafic Internet doit passer travers le crible du pare feu N autorisez aucun autre acc s Inter net par ex via modem e N utilisez aucun ordinateur portable ou r seau local sans fil priv sans l autorisation crite du responsa ble informatique www infosurance ch 4 e Plusieurs syst mes d exploitation disposent d un pare feu int gr Profitez syst matiquement de cette possibilit et activez ces pare feux Si vous utilisez un r seau local sans fil WLAN dans votre entreprise veillez ce qu il soit s r et s curis Un r seau local sans fil mal configur an antit toute la protection offerte par le syst me de pare feu Toutes les passerelles r seau doivent tre s curi s es par un pare feu Toutes les connexions entre fournisseurs clients sous traitants et collabora teurs m me en acc s distance et
14. e jour d un programme dans lequel on a d couvert des erreurs Voir aussi update PGP Pretty Good Privacy en anglais plut t bonne intimi t Programme de cryptage des donn es Pharming attaque informatique plus redoutable que le phishing o l ordinateur de la victime est d tourn comp l tement l insu de son utilisateur au point que seuls des professionnels de la s curit et des r seaux sont m me de la d celer Face ce type de menace il est vivement re command d utiliser un antivirus un pare feu et d effectuer quotidiennement les mises jour de l ordinateur Phishing dans ce type d attaque la victime est amen e communiquer ses identifiants login des services finan ciers en ligne par ex e banking soit par courrier lectro nique soit par la visite d un site leurre dont le graphisme imite parfaitement le site original Port donn e num rique permettant d adresser un service un ordinateur C est ainsi que l on peut identifier clairement des paquets de donn es dans le r seau Provider fournisseur fournisseur d acc s un r seau Internet par ex Quelques fournisseurs connus Bluewin Sunrinse ou Cablecom RM Risk Management gestion du risque en fran ais Syst me de gestion des risques d une entreprise travers un processus d analyse d actions et de contr les Routeur p riph rique servant relier des r seaux entre eux On parle aussi de routeur ADS
15. e dans vos bureaux e Tous les acc s vos locaux et au site de votre entre prise doivent tre ferm s ou surveill s Si cela n est pas possible limitez vous la partie bureaux e Ne permettez pas aux visiteurs clients et connais sances de circuler sans surveillance dans votre entreprise e Toute personne tierce l entreprise doit tre ac cueillie la r ception accompagn e pendant toute la dur e de sa visite et raccompagn e jusqu la sortie e Si vous n avez pas de r ception permettant de surveiller l acc s il convient de verrouiller la porte d entr e et d apposer une plaque Pri re de sonner Trucs et astuces e Installez votre serveur dans un local climatis et fermant cl Si cela n est pas possible enfermez le serveur dans un caisson rack e N entreposez pas d objets inflammables papier par exemple ni dans le local du serveur ni pro ximit e Placez un extincteur au CO dans le local du ser veur en veillant ce qu il soit bien en vue e Assurez vous que toutes les ouvertures fen tres portes etc disposent d un syst me de protection efficace contre les effractions Vous trouverez des brochures d information ce sujet dans les postes de police Cl s et badges doivent tre correctement g r s et leur listes mises jour Soyez parcimonieux dans la distribution des cl s passe partout qu il convient de r examiner au moins une fois par an Les collaborateurs qui
16. es mises jour de votre antivirus Prot gez votre navigation sur Internet avec un pare feu Effectuez r guli rement les mises jour de vos logiciels Choisissez des mots de passe complexes Prot gez vos appareils portables Expliquez vos directives pour l utilisation des moyens informatiques Prot gez l environnement de vos infrastructures informatiques Adoptez un bon syst me de classement pour vos documents et dossiers 5 mesures suppl mentaires pour am liorer la confidentialit Point n 11 Point n 12 Point n 13 Point n 14 Point n 15 Respectez les r gles R glementez la protection de l acc s aux donn es Verrouillez l acc s vos appareils portables et cryptez les donn es lors des transferts G rez les documents non lectroniques de fa on confidentielle Sensibilisez vos collaborateurs 5 mesures suppl mentaires pour am liorer la disponibilit Point n 16 Point n 17 Point n 18 Point n 19 Point n 20 V rifiez vos syst mes informatiques Equipez vos ordinateurs d une alimentation sans interruption Misez sur la redondance des modules importants Etablissez un plan d urgence G rez et distribuez le savoir faire Etablissez un cahier des charges pour les responsables informatiques La s curit informatique repose sur des facteurs techniques humains et organisationnels Des solutions techniques en mati re de s curit et des collaborateurs motiv s c est
17. f rents supports de stockage CD Rom DVD cl s USB disques durs les donn es lectroniques dont vous n avez plus besoin en crasant l ensemble de l espace m moire La com mande Supprimer ne suffit pas Le mieux est de d truire physiquement ces supports avant de vous en d barrasser Les documents confidentiels contenant par exem ple des donn es personnelles doivent tre conser v s syst matiquement sous cl www infosurance ch entreprise utilisez des supports de stockage neufs n ayant encore jamais servi car il est rela tivement facile de r tablir des fichiers supprim s de fa on conventionnelle Mieux vaut donc se pr munir des regards indiscrets Actuellement seul le programme Wipe est en mesure d effacer d finitivement vos donn es Vous trou verez sur Internet toutes les informations con cernant ce logiciel Lorsque vous travaillez l ordinateur sur des donn es sensibles positionnez votre cran de sorte que vos coll gues ou des visiteurs ne puis sent pas lire ce qui y est affich D truisez les documents sur support papier dont vous n avez plus besoin de m me que les notes contenant des donn es sensibles destructeur de documents Pendant les pauses ou en cas d absence verrouil lez l acc s de votre ordinateur par un mot de passe et mettez vos documents confidentiels sous cl Ne laissez pas tra ner des documents imprim s sur l imprimante surtout si cette derni re est i
18. fonctionner l ordinateur et les applications comme le traitement de texte ou le tableur Switch appareil servant relier des ordinateurs ou des r seaux entre eux Il est notamment utilis dans les r seaux locaux LAN Update mise jour action qui permet de r parer des outils informatiques ou des programmes d fectueux comme le syst me d exploitation par exemple Voir aussi patch URL adresse d une page Internet par ex www infosurance ch Virus programme le plus souvent malveillant malware qui d truit les donn es ou emp che le fonctionnement de l ordinateur Les virus se r pandent travers toutes les for mes de transfert de donn es Internet disquette CD Rom cl USB courriel etc et s activent par une simple action de l utilisateur Pour se prot ger l utilisateur doit installer un scanner de virus qu il devra r guli rement mettre jour VPN Virtual Private Network cette technologie de r seau priv virtuel permet de s curiser par le biais de cl s de cryptage et de mots de passe l utilisation de r seaux publics Internet par ex des fins priv es Ver programme malveillant malware qui se reproduit de fa on autonome dans les r seaux informatiques en exploitant les failles des programmes Cet h te se mani feste g n ralement par le ralentissement des capacit s de l ordinateur Mais les vers peuvent galement d truire les donn es stock es sur l ordinateur La premi re
19. lit ayant t soumis des tests in tensifs e Au del de la redondance de vos syst mes infor matiques songez galement une connexion In ternet redondante Souscrivez des contrats de service apr s vente avec vos fournisseurs de mat riel informatique et de logiciels dans lesquels vous pr ciserez bien les temps de r action les d lais de livraison etc Vous pouvez galement laborer avec eux des sc narios d urgence cf point n 19 e L essentiel est que vos modules de secours soient identiques et qu ils soient pr configur s afin de pouvoir prendre imm diatement le relais 18 www infosurance ch Etablissez un plan d urgence Personne n est l abri d une catastrophe et on se sent souvent impuissant face aux situations les plus graves Mais savoir quel comportement adopter en cas d urgence peut permettre de limiter le sinistre Pour cela il est n cessaire de planifier l avance la conduite tenir et les actions mettre en uvre e Envisagez les situations d urgence qui pourraient se pr senter dans votre entreprise et r fl chissez la fa on dont il faudrait r agir dans les diff rents cas Imaginez les sc narios suivants panne du syst me informatique incapacit du personnel perte des postes de travail ou des locaux et d fail lances de partenaires externes et prestataires de services e En cas d urgence il faut donner l alerte rapide ment et agir vite Chacun doit savoir exacte
20. ment qui est la personne responsable et qui alerter Pour cela tablissez un plan d alerte et une note technique sur la r partition des responsabilit s e Votre plan d urgence doit pr voir les mesures prendre pour l activation du plan d urgence Trucs et astuces e Documentez r guli rement tous vos composants informatiques Cette documentation doit tre con serv e l ext rieur de l entreprise e Etudiez un mode de fonctionnement d grad pour les syst mes informatiques Celui ci devra garantir un haut niveau de disponibilit afin de permettre une prompte reprise de l activit www infosurance ch la gestion de la situation d urgence et le r tab lissement rapide du fonctionnement normal de l entreprise Enseignez vos collaborateurs la conduite sui vre en cas d urgence et les premi res mesures qu ils doivent prendre L homme r agit souvent de fa on intuitive en situation de stress C est pourquoi il convient d entra ner sa capacit adopter la bonne con duite en situation critique Pour les risques importants il peut tre int res sant de souscrire une assurance informatique pour vos installations par exemple ou bien une police suppl mentaire pour couvrir les frais pour les supports de donn es et le remplacement du mat riel endommag Testez le temps de r action du syst me de secours selon vos besoins en disponibilit Une panne de serveur peut elle tre vraiment r par e dans les
21. n es e Etablissez une liste de toutes les personnes habilit es acc der de l ext rieur au r seau de l entreprise e La direction v rifie que le responsable informatique s acquitte correctement de sa t che e Tous les collaborateurs qui travaillent sur ordina teur doivent recevoir un guide contenant les direc tives pour l utilisation des moyens informatiques Ces directives d crivent les op rations que vos collaborateurs sont autoris s ou non effectuer sur l ordinateur cf point n 8 D signez un interlocuteur pour toutes les ques tions li es la s curit perte d un ordinateur por table par exemple ou infection par un virus etc en indiquant le cas ch ant la dur e pr cise de leurs droits Assurez vous que les programmes de protection sont r guli rement mis jour Veillez au respect des mesures de s curisation des donn es travers par exemple des programmes de protection et des mots de passe complexes cf points n 3 4 et 6 Contr lez r guli rement la bonne application des directives contenues dans le guide informatique Abordez les questions de s curit travers un projet o vous d finissez des objectifs ainsi que la dur e et les moyens pr vus pour les atteindre La s curit est un processus contr lez r guli re ment la s curit dans l entreprise et am liorez la si n cessaire en vous basant sur la m thode de la roue de Deming Plan Do Check Act www info
22. nce Zentralstrasse 9 CH 6002 Lucerne T l 41 41 228 41 70 http www infosurance ch La rediffusion gratuite du contenu de cette brochure est autoris e sous indication de source et dans l esprit de l association L association InfoSurance ne pourra tre tenue responsable des dommages ventuels occasionn s par l utilisation correcte ou erron e du programme en 10 points largi Chers chefs d entreprise La Suisse compte parmi les principaux utilisateurs de technologies de l information et de la communication TIC dans le monde Personne ne d pense autant d argent par habitant pour les technologies informatiques que les Suisses Plus rien ne fonctionne sans l informatique Et c est la m me chose pour vous qui dirigez une petite ou une moyenne entreprise suisse Or les PME sont le principal pilier de l conomie suisse Vous jouissez d une excellente r putation car vos produits et services sont synonymes de qualit flexibilit et innovation L Association InfoSurance s occupe depuis plusieurs ann es des risques li s l utilisation de l informatique dans les petites et moyennes entreprises Pour aider les entreprises mettre en uvre un syst me de protection ad quat InfoSurance a publi en 2005 un Programme en 10 points pour la mise en place d une protection de base efficace en informatique L association InfoSurance compl te aujourd hui ce programme en ajoutant dix autres points qui s adressent principalement aux en
23. nstall e dans des espaces accessibles au public accueil etc 10 10 points suppl mentaires pour am liorer la confidentialit et la disponibilit de vos donn es Vous pensez que votre entreprise a de nouveaux besoins en mati re de s curit et qu elle n cessite des mesures compl mentaires Les points suivants vous aideront valuer la n cessit de mesures de s curit suppl mentaires Ces mesures sont expo s es dans les pages ci apr s Prot gez votre entreprise en prenant des mesures pour am liorer la confidentialit si e la l gislation vous y contraint comme par ex la loi sur la protection des donn es ou sur le droit d auteur e l utilisation malintentionn e de donn es confidentielles sensibles pourrait comporter d importantes pertes financi res et ou porter pr judice au cr dit et la r putation de votre entreprise comme par exemple la r v lation de secrets d entreprise ou d offres commerciales e le d tournement de donn es se rapportant une personne aurait des cons quences consid rables sur le statut social ou la situation conomique de cette personne comme par exemple la publication de fichiers clients confidentiels e de par son activit votre entreprise se doit g n ralement de respecter le caract re confidentiel des informa tions mani es comme c est le cas par exemple pour les entreprises de conseil en personnel les associations les centres hospitaliers des organismes fid
24. ochures etc Vous pouvez pour cela recourir des tiers comme par exemple InfoSurance http www infosurance ch 15 V rifiez vos syst mes informatiques Votre syst me informatique doit toujours tre op rationnel 100 Pour cela il doit faire l objet d une maintenance pr ventive et r guli re qui diminuera le risque de pannes et de pr judices e Contr lez r guli rement l op rationnalit de votre syst me informatique Le syst me de backup est il au point Les donn es sauvegard es sont elles effectivement lisibles Le syst me d alimentation sans interruption ASI est il op rationnel Il y a t il des messages d erreur dans l historique syst me e Les aspects organisationnels sont galement prendre en compte les dispositions r glemen taires sont elles respect es Le plan d urgence a t il t v rifi Trucs et astuces e Etablissez une liste de contr le pour suivre le d roulement des op rations de maintenance Ces derni res doivent tre contr lables et compr hen sibles e Le contr le des syst mes peut tre automatis jusqu un certain point Un logiciel par exemple peut envoyer un message d alerte l administrateur en cas de d passement d une valeur critique 16 e Vous pouvez vous charger vous m me de la main tenance des appareils et des syst mes ou bien faire appel des partenaires sp cialis s par ex fournisseur Dans ce dernier cas s lectionnez de
25. on technique et indiquez pour chaque fiche le num ro de la version la date le motif de r vision et le nom de son auteur Etablissez un plan de votre r seau avec indication de votre serveur et des diff rents composants Conservez les mots de passe importants en double dans un coffre S curisez les informations significatives li es aux activit s de vos collaborateurs d missionnaires 20 www infosurance ch Glossaire Acc s distance acc s un r seau ou un ordinateur distant g n ralement via Internet Ces acc s devraient tou jours tre s curis s gr ce notamment des pare feux ou la technologie VPN Adresse IP adresse num rique permettant d identifier un ordinateur dans un r seau Internet par ex ADSL Connexion rapide Internet Avec ce type de raccor dement l ordinateur est connect en permanence Inter net et peut donc tre attaqu tout moment La premi re mesure de protection prendre est d quiper l ordinateur d un pare feu Antivirus ou scanner de virus Programme charg de prot ger l ordinateur contre les virus vers et chevaux de Troie Attachment pi ce jointe fichier joint un courriel De nombreux programmes malfaisants malware crimeware sont ainsi diffus s Ils s activent au moment o l utilisateur ouvre le message ou le fichier joint Avant d ouvrir une pi ce jointe il convient donc de s assurer que l exp diteur est bien connu de l utilisateur et que l o
26. ou de verrouillage De cette mani re les informations ne seront accessibles qu aux utilisateurs en posses sion du mot de passe ou de la cl de d cryptage Une solution simple consiste regrouper des don n es sensibles dans un dossier compress dont on verrouillera l acc s On veillera ensuite trans mettre le mot de passe travers un autre syst me de communication que les donn es par exemple le dossier compress par courriel et le mot de passe par SMS Vous pouvez galement recourir la solution Pretty Good Privacy PGP C est un produit qui a fait ses preuves et qui dispose de fonctions techniquement avanc es pour le cryptage la signature num rique et la suppression s curis e des donn es Les pa ckages de solutions PGP pour les entreprises sont disponibles sur le site officiel http www pgp com de index html Pour utiliser le logiciel libre OpenPGP rendez vous sur le site http www gnupg org index de html 13 G rez les documents non lectroniques de fa on confidentielle Pour les donn es lectroniques comme pour les documents sous forme papier la pru dence est de mise Alors prot gez bien vos donn es confidentielles et faites en sorte que rien ne filtre e Tout document a son propri taire et sa place dans le classement Les documents doivent tre class s verrouill s pour n tre accessibles qu aux personnes autoris es et correctement d truits lorsqu ils ne sont plus utilis s
27. our former un petit r seau Instant Messenger messagerie instantan e programme permettant d changer de brefs messages textuels en temps r el ISDN r seau de t l communication num rique permettant de transmettre des voix et des donn es une vitesse sup rieure et avec une s curit accrue par rapport la tech nologie analogique traditionnelle Junk Mail pourriel courrier lectronique ind sirable le plus souvent publicitaire galement d sign sous le terme de spam Login authentification processus d identification au pr s d un syst me faisant intervenir g n ralement un nom d utilisateur et un mot de passe Malware galement connu sous le terme de maliciel Terme g n rique pour d signer des logiciels malveillants et nuisi bles comme par exemple les virus les vers ou les chevaux de Troie Modem p riph rique servant convertir des signaux lec triques en donn es analogiques et inversement Il est utilis pour tablir la connexion entre des lignes t l phoniques analogiques et des r seaux num riques Internet par ex On parle aussi de modem ADSL ou modem c ble Modem c ble type de modem permettant de se connecter Internet par le biais du r seau de t l vision par c ble Nom d utilisateur Username il est la plupart du temps li un mot de passe dans les proc dures d authentification login sur un site Internet ou pour l acc s un programme Patch correctif mis
28. quittent d finitivement l entreprise doivent remettre leurs cl s badges et autres droits d acc s Ne placez pas d imprimante r seau dans des pi ces accessibles au public pour prot ger vos documents des regards indiscrets Enfermez les c bles de connexion r seau qui tra versent les pi ces accessibles au public M me chose pour vos modems stations centrales hubs routeurs et commutateurs www infosurance ch Classez vos documents et vos dossiers Cela peut para tre surprenant au premier abord mais ordre et s curit vont de pair On perd moins de documents sur un bureau bien rang C est la m me chose pour votre ordinateur et vous viterez de perdre des donn es en tablissant un syst me de clas sement bien ordonn e Une m thode de rangement rationnelle permet de e Lorsque vous faites sortir des donn es de votre r duire le risque de voir des documents sensibles ressurgir au mauvais moment ou tre expos s par hasard des regards indiscrets Un espace bien rang est aussi une question d image vos clients et vos fournisseurs seront sensibles aux apparences et des bureaux bien rang s leur donneront l id e d une gestion or donn e Classez vos fichiers lectroniques et vos docu ments papier selon la m me logique de range ment par exemple par client ou par projet Le syst me doit avoir une structure logique et com pr hensible pour vos collaborateurs Trucs et astuces e Effacez des dif
29. r seau le routeur le syst me de backup etc normalement Trucs et astuces e Faites l inventaire des composants qui doivent tre e Contr lez r guli rement les batteries de l appareil branch s sur l appareil de secours ASI ASI et remplacez les le cas ch ant cf point n 16 e Cette liste vous permettra de d terminer la puis sance n cessaire de votre appareil USV www infosurance ch 17 Misez sur la redondance des modules importants Un serveur qui tombe en panne par exemple peut avoir de graves r percutions co nomiques et paralyser votre entreprise Beaucoup d entreprises ignorent quel point elles d pendent de certains mat riels informatiques essentiels Pour permettre votre entreprise de reprendre son activit le plus vite possible apr s une panne il est recom mand de disposer de syst mes redondants disques durs composants de r seau ou serveurs complets e Laredondance signifie que vous disposez d au moins un appareil ou syst me de rechange identique m me de prendre la rel ve en cas de panne e Pour pr venir une panne de disque dur on peut recourir la m thode de la mise en miroir de disques En cas de d faillance du disque dur de travail d autres disques durs prennent automati quement le relais sans interrompre les activit s en cours Trucs et astuces e N utilisez que des composants de marques recon nues dans la mesure o ils sont g n ralement de bonne qua
30. rdinateur est dot d un antivirus actualis Audit proc dure d valuation permettant de v rifier le bon fonctionnement des syst mes et processus internes face aux exigences et aux directives de l entreprise ASI alimentation sans interruption dispositif intercal entre le r seau de distribution de l lectricit et l ordinateur pour servir de batterie de secours en cas de coupure de courant et le prot ger des microcoupures ou autres fluctuations lectriques Backup proc dure de stockage des donn es sur des sup ports externes En cr ant ainsi une copie de sauvegarde on se prot ge contre une perte de donn es ventuelle Bluetooth Technologie radio courte distance pouvant tre utilis e par les ordinateurs portables et les t l phones mo biles pour changer des donn es Browser navigateur logiciel con u pour consulter les informations contenues sur le Web ex Internet Explorer Opera ou Firefox Carte puce carte en plastique portant un circuit int gr la puce permettant de stocker des donn es qui ne seront d bloqu es qu apr s avoir tap un code confidentiel Cl USB support de stockage qui se branche sur le port USB de l ordinateur Du fait de sa petite taille et de sa capacit de stockage lev e elle est notamment utilis e pour le vol de donn es Client ordinateur reli un r seau et connect d autres ordinateurs www infosurance ch Cheval de Troie dangereux logiciel mal
31. res pour l entreprise et nuire son image e convient de prendre en compte tout particu li rement la Loi sur la Protection des Donn es LPD la Loi sur le Droit d Auteur DLA et le Droit des Obligations DO e Lorsque des informations personnelles sur des clients ou des collaborateurs par exemple sont trait es de quelque mani re que ce soit il con vient de se r f rer la loi f d rale sur la protec tion des donn es Trucs et astuces e Familiarisez vous avec la l gislation et la r glemen tation en vigueur Prenez les dispositions n ces saires pour vous conformer la l gislation e Assurez vous que les donn es ont t collect es conform ment la loi et que les informations con serv es sont exactes e Permettez aux personnes concern es de se ren seigner sur le contenu des donn es conserv es e Vous trouverez d autres informations ce sujet sur le site Internet du Pr pos F d ral la pro www infosurance ch e Selon la loi sur la protection des donn es ces informations doivent tre prot g es par un dis positif technique et des mesures appropri es contre une utilisation par des personnes non autoris es Par ailleurs l entreprise s engage garantir l exactitude des donn es conserv es Attention galement aux contrats avec vos clients et partenaires ils peuvent contenir des clauses sp ciales de confidentialit tection des donn es et la transparence http
32. rrespon dants Ces autorisations devront tre r guli re ment pass es en revue pour tre adapt es le cas ch ant la situation courante 12 e convient d attribuer les droits d acc s selon la fonction occup e secr tariat vente comptabilit ressources humaines administrateur syst me On prendra soin par ailleurs d accorder unique ment les droits d acc s n cessaires l ex cution des t ches de chacun selon le principe de connais sance s lective Les droits d acc s doivent tre accord s travers un r gime d autorisation informatique ou une ad ministration sup rieure Optez pour une m thode d authentification forte combinant un nom d utilisateur un mot de passe et un troisi me l ment de s curit comme une carte puce par exemple Lorsque des collaborateurs quittent d finitivement l entreprise ou dans le cas de changements dans l organigramme interne il convient de bloquer ou de modifier les comptes d utilisateur correspon dants ainsi que les droits d acc s qui vont avec Les comptes des responsables syst mes et des administrateurs feront bien s r l objet d une atten tion particuli re dans la mesure o ils disposent g n ralement de droits tr s tendus www infosurance ch Verrouillez l acc s vos appareils portables et cryptez les donn es lors des transferts Le transfert non s curis de donn es confidentielles par courriel par ex risque de les soume
33. s partenaires fiables et accordez leur uniquement des droits d acc s limit s Les op rations de contr le et de maintenance doivent avoir lieu intervalles r guliers Faites signer un accord de confidentialit au person nel externe charg de la maintenance Evitez dans la mesure du possible que des per sonnes externes aient acc s des donn es et informations de l entreprise Informez les personnes concern es sur les travaux de maintenance venir www infosurance ch Equipez Vos ordinateurs d une alimentation sans interruption Si votre activit n cessite de hauts niveaux de disponibilit de vos donn es et de vos syst mes informatiques vous devez tout faire pour viter une panne de courant Une alimentation sans interruption ASI prot ge vos syst mes informatiques d une coupure de courant et des surcharges foudre permettant ainsi d viter la perte de donn es e L appareil d alimentation sans interruption ASI e Par ailleurs les ASI permettent de stabiliser la ten doit tre install entre la source d lectricit habi sion d alimentation de vos appareils tuelle et les appareils prot ger e Votre serveur bien s r mais aussi d autres p ri e En cas de panne de courant la batterie de l ASI ph riques importants doivent tre quip s d un ap prend le relais et se charge d alimenter les com pareil ASI comme les principaux ordinateurs d un posants de fa on ce qu ils puissent s teindre
34. s peuvent paralyser vos infrastructures informatiques et mettre ainsi la vie de votre entreprise en p ril e Les virus informatiques peuvent modifier corrom e Un programme antivirus offre une protection con pre voire m me d truire compl tement donn es et programmes Ces programmes malveillants peuvent vous tre transmis en pi ce jointe d un email par messagerie instantan e etc Sur Inter net ces virus sont souvent d guis s en program mes gratuits pseudo utiles ou de divertissement et s activent en un simple clic de souris Les syst mes informatiques mal prot g s sont sou vent pervertis pour propager des virus et pour lan cer des attaques cibl es contre une soci t tierce Un chef d entreprise qui ne prend pas les mesures suffisantes pour prot ger ses syst mes informa tiques fait preuve de n gligence et s expose des poursuites p nales Trucs et astuces e Installez un programme antivirus sur tous les ser veurs postes de travail clients et ordinateurs por tables et effectuez r guli rement les mises jour une fois par jour minimum Interdisez express ment la d sactivation m me temporaire du programme antivirus Demandez vos collaborateurs de signaler imm diat ement au responsable informatique les messages d avertissement virus tre les virus et les vers connus Il identifie les intrus et les met hors d tat de nuire Ces programmes sont en vente dans les magasins d informatiq
35. surance ch Prot gez vos donn es en faisant r guli rement des backups Il existe diff rentes mani res de perdre des donn es elles peuvent tre cras es par erreur rendues illisibles cause d un d faut sur le disque dur voire d truites par un incendie ou un d g t des eaux Vous pouvez viter de tels d sagr ments en faisant r guli rement des backups de vos donn es En r gle g n rale il convient d effectuer des back ups de s curit pour toutes les donn es dont le contenu est vital pour la poursuite de votre acti vit De m me les configurations de logiciels dev raient galement faire l objet de sauvegardes La fr quence de ces backups d pend de l activit et de la taille de votre entreprise Ceci dit une PME devrait sauvegarder ses donn es au moins une fois par semaine Un backup quotidien vous permet de r aliser un archivage de vos donn es conforme au droit des obligations et l ordonnance concernant la tenue et la conservation des livres de comptes Olico cf ci dessous Trucs et astuces e Du lundi au jeudi effectuez un backup quotidien sur diff rents supports de stockage La semaine suivan te proc dez de la m me mani re en crasant les donn es des pr c dents backups jour apr s jour Conservez les backups journaliers en dehors du local o se trouve votre serveur Chaque vendredi faites un backup pour la semaine coul e sur un support de stockage diff rent que vo
36. t faites les signer par vos collaborateurs e Abordez r guli rement le probl me de la s cu rit dans votre entreprise en multipliant les ap proches e Organisez des campagnes de sensibilisation sur ce th me une deux fois par an C est facile r aliser et cela n cessite tr s peu de moyens courriels tous vos collaborateurs circulaires internes affichage la cantine articles dans le journal de l entreprise etc Trucs et astuces e R glementez l installation et l utilisation de pro grammes et mat riel n appartenant pas la sph re de l entreprise jeux conomiseur d cran cl s USB modems ordinateurs portables priv s connexions LAN sans fil assistants personnels etc e R glementez la navigation sur Internet et d finissez ce que vos collaborateurs peuvent ou non t l char ger informations programmes etc e Interdisez la fr quentation des salons de discus sions chatrooms et la consultation de sites aux contenus pornographiques racistes ou violents e D finissez le mode de sauvegarde des donn es en particulier pour les utilisateurs d ordinateurs porta bles cf point n 2 e Imposez la cr ation de mots de passe cf point n 6 www infosurance ch Organisez une formation de base pour tous vos collaborateurs en vous inspirant de cette bro chure par exemple Objectifs avantages de la s curit informatique cr ation de mots de passe compliqu s pratique s curis
37. tre dans le r seau de votre entreprise Il convient de r glementer tout particuli rement l utilisation de points d acc s publics et externes Internet HotSpots Activez le Bluetooth sur vos appareils t l phones et ordinateurs portables PC de poche uniquement en cas de besoin et l abri des regards indiscrets Autrement votre appareil peut r agir votre insu des sollicitations trang res dans un rayon allant jusqu 100 m tres Pour acheminer des donn es ultraconfidentielles utilisez exclusivement des connexions prot g es par un r seau priv virtuel VPN Pour crypter ou chiffrer vos donn es vous pouvez utiliser le produit Pretty Good Privacy PGP Les packages de solutions PGP pour les entreprises sont disponibles sur le site officiel http www pgp com de index htmi le package Pour utiliser le logiciel libre OpenPGP rendez vous sur le site http www gnupg org index de html www infosurance ch Expliquez vos directives pour l utilisation des moyens informatiques Sans directives claires et contraignantes vos collaborateurs ne savent pas ce qu ils ont le droit de faire et de ne pas faire en tant qu utilisateur informatique Mais les r gles ne sont v ritablement prises au s rieux que si elles sont respect es par les sup rieurs Vous devez donc servir d exemple pour tous les aspects li s la s curit e Formulez par crit les directives pour l utilisation des moyens informatiques e
38. treprises n cessitant une grande disponibilit de leurs syst mes et la confidentialit absolue de leurs donn es Le Programme en dix points largi se veut encore une fois compr hensible et peu on reux dans sa mise en uvre Mais pour tous les cas o des connaissances sp cifiques s av rent n cessaires n h sitez pas vous adresser un expert externe En entreprise une bonne gouvernance passe notamment par la gestion des risques Ainsi la loi exige depuis le 1er janvier 2008 la pr sence de donn es relatives l valuation des risques de m me que l existence d un syst me de contr le interne SCI Cette brochure vous apportera galement une aide pr cieuse dans le vaste domaine de l informatique Dans l espoir que vous accorderez ce programme largi la m me attention qu au premier je vous adresse vous et votre entreprise tous mes v ux de succ s pour votre marche vers une plus grande s curit de l information Edi Engelberger membre du Conseil national suisse Pr sident de l Union suisse des arts et m tiers Le programme en 10 points largi vue d ensemble 10 mesures pour une protection de base efficace Point n 1 Point n 2 Point n 3 Point n 4 Point n Point n Point n Point n 8 Point n 9 Point n 10 N OA Etablissez un cahier des charges pour les responsables informatiques Prot gez vos donn es en faisant r guli rement des backups Effectuez toujours les derni r
39. ttre des regards plus ou moins indiscrets En cas de perte de votre ordinateur portable vos donn es risquent de tomber dans de mauvaises mains Pour garantir la confidentialit de vos donn es vous devez proc der leur cryptage aussi bien pour les stocker sur vos ordinateurs portables que lors des transferts e Les courriels peuvent tre lus par des tiers Il con vient donc de crypter les messages dont le con tenu est confidentiel e Lorsque vous conservez des donn es confiden tielles en particulier sur des ordinateurs portables Trucs et astuces e R glementez le syst me de verrouillage en faisant l inventaire des donn es et des ordinateurs de l entreprise qu il convient de verrouiller Formez vos collaborateurs sur le syst me de verrouillage R g lementez galement le syst me de d verrouillage afin que les donn es archiv es restent accessibles En cas de d part d finitif de l entreprise assurez vous que vos anciens collaborateurs n emportent pas avec eux une cl de verrouillage ouvrant l acc s des donn es crypt es e Installez un logiciel de cryptage ou de verrouillage Sur tous vos appareils contenant des donn es sen sibles Le verrouillage doit se baser sur un mot de passe compliqu cf point n 6 e Utilisez un logiciel de cryptage pour vos courriels au contenu confidentiel www infosurance ch smartphones ou assistants personnels il est n cessaire d utiliser un syst me de cryptage
40. uciaires les cabinets m dicaux et juridiques etc Lire tout particuli rement les points 11 15 pr sent s dans les pages suivantes Prot gez votre entreprise en prenant des mesures pour am liorer la disponibilit si e une panne de votre syst me informatique pourrait paralyser votre entreprise au point de provoquer un dommage global important comme par exemple des retards de livraison dus au traitement des commandes au ralenti e une d faillance des applications informatiques pourrait se traduire par une perte de confiance ou de r putation par ex panne du syst me de r servation d une agence de voyage ou panne du serveur Internet e a panne d une application ou du syst me informatique pourrait mettre directement en danger l int grit des personnes par ex panne d un syst me automatique de fermeture e de par son activit votre entreprise se doit g n ralement de garantir la disponibilit des informations mani es ce qui par exemple le cas pour les exploitations les entreprises commerciales les imprimeries et les boutiques en ligne Lire tout particuli rement les points 16 20 pr sent s dans les pages suivantes www infosurance ch Respectez les r gles En mati re de confidentialit une entreprise doit s engager respecter un certain nom bre de r gles pouvant amp maner de la loi d obligations contractuelles ou autres directives Le non respect de ces r gles peut avoir des cons quences judiciai
41. ue mais on en trouve aussi en t l chargement gratuit sur la toile Les cybercriminels ne cessent de mettre au point de nouveaux virus raison pour laquelle il convient d actualiser continuellement votre programme anti virus Selon le produit utilis le programme recherche lui m me les mises jour sur la page d accueil du fabricant Demandez votre vendeur si c est le cas pour votre antivirus Quoiqu il en soit les mises jour doivent tre effectu es chaque jour Effectuez au moins une fois par semaine un scan complet de votre disque dur Vous pourrez ainsi d couvrir et liminer des virus qui n avaient pas encore t d tect s Interdisez express ment tout test maison sur les virus Pour les r seaux d une certaine importance les mises jour des antivirus doivent se faire de fa on centralis e et automatique www infosurance ch Prot gez votre navigation sur Internet avec un pare feu Si vous avez des portes coupe feu dans votre entreprise vous veillez certainement ce qu elles soient toujours bien ferm es Dans le monde de l Internet et de l change lec tronique de donn es c est le pare feu qui remplit cette fonction s curitaire e En l absence de pare feu n importe qui peut s immiscer dans votre syst me informatique ex cuter des taches votre insu utiliser votre ordi nateur pour lancer des attaques ill gales contre des tiers ou bien encore acc der des donn es commer
42. und Ihr Computer ist sicher 4 InfoSurance Plus de s curit pour les syst mes informatiques des petites et moyennes entreprises PME Une protection accrue gr ce au programme en 10 points largi _ A De la pratique pour la pratique Cahiers des PME Concept et textes Groupe de travail PME s curit de l information de l association InfoSurance Ueli Br gger IBM Z rich Christof Egli Ernst Basler Partenaire Z rich chef du groupe de travail Hanspeter Feuz IT Projects Thun Tiziana Giorgetti Symantec Switzerland AG Bassersdorf Ren Hanselmann Microsoft GmbH Wallisellen Peter Neuhaus Fondation PME Suisse Berne Le groupe de travail a t assist par J rg Altenburger IBM Z rich Chris Baur Trivadis AG Z rich Diego Boscardin Symantec Switzerland AG Bassersdorf Herbert Brun UPAQ Ltd K snacht Roger Halbheer Microsoft GmbH Wallisellen Andrea M ller Microsoft GmbH Wallisellen Peter Kunz Omnisec D llikon Anton Lagger Office f d ral pour l approvisionnement conomique du pays Berne Marc Vallotton InfoGuard AG Zug Christian Weber Secr taire d Etat l conomie SECO Bern Carlos Rieder Haute Ecole de Gestion Lucerne Chris Baur Trivadis AG Z rich Wolfgang Sidler SIDLER Information Security GmbH H nenberg Concept et r alisation graphique K nzli Communication AG Lucerne Impression Gisler Druck AG Altdorf Copyright Association InfoSura
43. us conserverez hors de l entreprise Les backups hebdomadaires seront cras s au bout d un mois www infosurance ch 2 D signez par crit les responsables des sauve gardes de s curit et tablissez une liste des backups effectu s Sauvegardez toujours vos donn es sur des sup ports mobiles bande magn tique et autres sup ports amovibles De m me il serait bon d effectuer des copies des documents importants dont vous ne disposez que d une version papier contrats ou autres et de les conserver hors de l entreprise Attention Certains documents comme les bilans les comptes de r sultats les livres de comptes les inventaires les justificatifs comptables et la corres pondance commerciale doivent tre conserv s pendant 10 ans A la fin du mois faites un backup pour le mois coul Cette sauvegarde de s curit mensuelle ne sera pas cras e et devra tre conserv e hors de l entreprise A la fin de l ann e faites un backup de l ann e cou l e Cette sauvegarde de s curit annuelle ne sera pas cras e et devra tre conserv e elle aussi hors de l entreprise V rifiez r guli rement que les donn es sauve gard es sur les supports de stockage sont accessib les Une sauvegarde n a de sens que si les donn es ont t correctement copi es sur le support Effectuez toujours les derni res mises jour de votre antivirus Des programmes nuisibles tels que par exemple les virus et les ver
44. veillant qui s introduit et s ex cute subrepticement sur l ordinateur d un utilisateur De cette mani re un cybercriminel cracker peut prendre distance le contr le total de l ordinateur La premi re me sure de protection prendre est d equiper l ordinateur d un scanner de virus Cracker un pirate informatique qui profite de ses connais sances et de son exp rience pour nuire autrui Crimeware terme g n ral pour d signer des programmes utilis s par des cybercriminels pour nuire des utilisateurs informatiques Ces programmes servent les plus souvent voler de l argent ou des informations pr cieuses par ex des num ros de cartes de cr dit Les spyware appartiennent galement cette cat gorie de logiciels mais pr sentent une forme moins agressive Download t l chargement processus permettant un utilisateur de recevoir sur son ordinateur des donn es et des programmes provenant d un ordinateur distant par ex sur Internet Firewall pare feu appareil ou logiciel charg de prot ger un ordinateur ou un r seau contre des attaques venant de l ext rieur par ex d un cracker Hacker sp cialiste informatique dont les connaissances techniques faramineuses lui permettent de reconna tre des failles dans les ordinateurs ou les r seaux et de les exploiter Contrairement un cracker le hacker n a pas d intentions ill gales Hub appareil permettant d interconnecter plusieurs ordina teurs p
45. vol d un portable e Les appareils portables ne devraient contenir que les donn es strictement n cessaires leur fonc tion N oubliez pas d effectuer r guli rement un backup de ces donn es cf point n 2 e Les donn es sensibles stock es sur un ordina teur portable doivent tre prot g es par un code d acc s pour viter qu elles ne puissent tre ex ploit es par des personnes malintentionn es Vous trouverez de bons programmes de cryptage dans le commerce mais aussi en t l chargement sur Internet Trucs et astuces e Modifiez le nom attribu par le fabricant au r seau local de connexion sans fil Service Set ID SSID Le nouveau nom de devra en aucun cas contenir le nom de votre entreprise e D sactiver l mission SSID pour que votre point d acc s ne soit pas visible des tiers e Activez le cryptage du transfert de donn es sans fil WPA2 Wi Fi Protected Access 2 Modifiez le mot de passe standard de vos points d acc s e Utilisez le filtre d adresses MAC pour que seuls les appareils connus puissent communiquer avec le point d acc s e Les appareils portables doivent tre pass s r gu li rement l antivirus car ils sont synchronis s avec les autres ordinateurs de l entreprise tra vers les fonctions de messagerie lectronique par exemple Une connexion WLAN mal configur e peut per mettre aux cybercriminels de s immiscer en quelques minutes et jusqu une distance d un kilom
Download Pdf Manuals
Related Search