Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité informatique pour bien protéger sa TPE/PME !

Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité informatique pour bien protéger sa TPE/PME !

Cyril ArnodoGwenael Bellec

Jerome RobertBenoit Clomenil

Herve Schauer

Introduction

N° 4

CONNAÎTRE SON SYSTÈME D'INFORMATION

Sécurité = maîtrise•... de l'ensemble de son périmètre. Tous les composants, tous les individus, tous les points exposés à des menaces potentielles.

Contrôler l'exhaustivité et la tenue à jour de ces inventaires avec l'évolution du contexte•Mettre en œuvre des procédures d'arrivée et de départ

Réaliser des inventaires•Actifs : activités et informations importantes•Individus, droits, etc.

N° 5

N° 6

METTRE À JOUR (RÉGULIÈREMENT!) LES COMPOSANTS DE SON SYSTÈME INFORMATIQUE

Systèmes d'exploitation des postes de travail et serveurs

N° 7

METTRE À JOUR LES COMPOSANTS DE SON SYSTÈME INFORMATIQUE

Mais pas seulement !

•Logicielsoà destination des utilisateurs (traitement de texte, ERP)ode sécurité (anti-virus, système de détection d'intrusion machine)omiddlewaresopilotes de périphériquesoetc.

•Logiciels embarqués d'autres composants (imprimantes, réseaux, objets divers)

•Systèmes d'exploitation des ordiphones et tablettes... et leurs applications

N° 8

PROTÉGER L'INFORMATIONEffectuer des sauvegardes de vos données

1Sur des supports différents du support d'origineoCD/DVDoDisques amovibleso...

2... stockées de manière sécurisée ...ocoffre, armoire ignifugée étanche, etc.

3... et dans des lieux différentsoLieu de stockage des supports de sauvegarde != lieu de stockage original des données

N° 9

PROTÉGER L'INFORMATIONSauvegarde et Stockage dans le cloud

En sécurisant les données les plus confidentiellesoComment ? Chiffrement.oQuelles sont-elles ? Données représentant un avantage concurrentiel, données client, de brevet, etc.

Nécessité de définir quelles informations sont critiques

Privilégier la simplicité

En choisissant son fournisseur avec discernementoLégislation et engagements contractuelsoLocalisation des données

N° 10

PROTÉGER L'INFORMATION

•Serveurs et postes de travail•Toujours : y compris les smartphones et tablettes

•Principe du "besoin d'en connaître" : tous les collaborateurs n'ont pas besoin de connaître toutes les informations•Conformité vis-à-vis des données à caractère personnel•Protection physique des supports

Par la protection physique des locaux, des zones sensibles de l'activité

Protéger l'accès à l'information

Pour TOUS vos supports

N° 11

GÉRER LES INCIDENTS

Journalisation•Quoi ? Tous les services nécessaires au bon fonctionnement de l'entreprise•Pourquoi ? Détection des incidents et investigation après qu'un incident soit survenu

•Rotation des journaux et sauvegarde sur disque dur séparé cf. "Protéger l'information"

Prévoir des mécanismes de détection et de gestion des incidents

N° 12

GÉRER LES INCIDENTS

Supervision•Centralisation et analyse des journaux des services•Vérification du bon fonctionnement des services et machines•Envoi automatiquement d'alertes 

Alerte•SMS, courriel...•Permet d'être prévenu immédiatement de tout incident

N° 13

GÉRER LES INCIDENTS

•Que fait-on une fois victime d'un rançongiciel ?

•Que fait-on lorsqu'une liaison Internet de notre réseau est coupée ? 

Se poser les bonnes questions AVANT toute situation d'urgence

Prévoir une procédure de réaction à l'avance

N° 14

SEN-SI-BI-LI-SER !

Sur les comportements à adopter au quotidien :3Être extrêmement vigilant sur sa messagerie électronique

•Vecteur d'entrée d'un nombre important d'attaques•Hameçonnage, infection par logiciels malfaisants, etc.

Utiliser les réseaux sociaux de façon "sécurisée« 

•Quelles informations peuvent être partagées ? => Classification de l'information•À quelle fréquence ?•Que faut-il surveiller sur les réseaux sociaux par rapport à l'entreprise ?

Éviter de se connecter sur des réseaux sans-fil publics

Aucune sécurité garantie !

N° 15

SEN-SI-BI-LI-SER !

Sur les comportements à adopter au quotidien : 4Être discret en déplacement ou hors du cadre professionnel

•Sur ses clients, fournisseurs, projets d'entreprise•Dans les lieux publics et transports en communs, même avec des interlocuteurs : les murs ont des oreilles...•Éviter de transporter des données confidentielles

Ne jamais laisser du matériel sans surveillance

•Ordinateur portable, smartphones, tablettes, etc.•Documents professionnels•Supports de stockage amovibles•etc.

N° 16

CONCLUSION

La défense périmétrique est un début•Pare-feu périmétrique chez soi ou dans le cloud•Anti-spam•Analyse et filtrage des courriels et pièce jointes

La défense en profondeur est un principe universel à appliquer•Pare-feu personnel•De nouvelles menaces contourneront toujours vos défenses

Vous ne protègerez que ce dont vous connaissez l'existence

N° 17

QUESTIONS

CONCLUSION

Vigilance et prudence vous protégeront de nombreuses situations à risque.

Table ronde

Speakers

N° 19

N° 20

@microsoftideas @microsoftpme

N° 21

N° 22

Notez cette sessionEt tentez de gagner un Surface Book

Doublez votre chance en répondant aussi au questionnaire de satisfaction globale* Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-

contractuelle