Ressources numériques à protéger
Au cours des dernières décennies, nos modes de vie et particulièrement de travail sont devenus très dépendants du numérique. Ce qui implique de nouvelles formes de protection.
La sécurité du numérique repose sur une triple analyse : celle des ressources, celle des menaces et celle des vulnérabilités.
Types de ressources
Un ménage possède des ressources de natures très différentes (santé, compte en banque, circuit électrique du logement, véhicule…) qui ne sont évidemment pas protégées de la même façon. De même, les organisations s’appuient sur des ressources diverses (humaines, matérielles, financières…).
Parmi celles qui appellent des actions de cybersécurité, on peut mentionner :
1- Contenu marketing et communication
- Les sites web (pages HTML et CSS, noms de domaines…)
- Logos et éléments de la charte graphique
- Brochures, dépliants et autres supports marketing
- Photos, vidéos et fichiers audio
- Présentations visuelles et audiovisuelles
- Documents commerciaux
- Contenus pour les réseaux sociaux
- Applications mobiles
- Réputation (qui peut être entachée par une cyberattaque)
2- Données internes
- Bases de données clients et prospects
- Dossiers financiers et comptables
- Documents juridiques et contrats
- Courriels et communications internes
- Fichiers de ressources humaines
- Propriété intellectuelle (brevets, marques, etc.)
3- Logiciels et applications
- Logiciels de gestion de la relation client (CRM)
- Outils de productivité et de collaboration
- Logiciels de comptabilité et de finance
- Systèmes de gestion de contenu (CMS)
- Logiciels de sécurité et de protection des données
- Applications mobiles
- Autres progiciels
4- Infrastructures et matériel
- Ordinateurs et serveurs
- Réseaux et périphériques réseau
- Stockage cloud et local
- Hébergement web et messagerie
- Téléphones mobiles
Gestion
La gestion des ressources s’appuie en premier lieu sur un inventaire : identification, lieu et responsable.
Celui-ci s’accompagnera d’un suivi. D’autres ressources viennent s’ajouter, d’autres perdent toute valeur. Il faut aussi veiller à ce qu’elles ne disparaissent pas !
Une fois inventoriées, les ressources doivent être classées par ordre d’importance et de sensibilité.
- Les ressources publiques sont les moins sensibles puisqu’elles sont accessibles à tous.
- Les ressources internes sont réservées au personnel de l’organisation et aux partenaires.
- Les ressources confidentielles ne doivent pas être diffusées à l’extérieur. Elles sont réservées à un service spécifique où aux acteurs d’un projet.
- Les ressources restreintes sont les plus sensibles. Elles ne sont accessibles qu’à un petit nombre de personnes.
Le classement n’est pas toujours aisé. Par exemple, des documents peuvent contenir des informations en partie confidentielles et en partie publiques.
Les données
Les techniques de protection des données diffèrent selon l’état dans lequel celles-ci se trouvent à l’instant t.
- Elles peuvent être utilisées par un ou plusieurs acteurs.
- Elles peuvent circuler (par exemple un courriel entre son envoi et sa réception).
- Elles peuvent être au repos (stockées), c’est-à-dire que personne n’y accède en ce moment.
Attention, des données stockées sur le cloud peuvent circuler sans que leur propriétaire ne le sache.
La responsabilité de la sécurité sur le cloud est partagée entre le client (gestion des accès…) et le fournisseur de services (sécurité des serveurs…). Ce partage dépend du service auquel le client a souscrit.
Protection des ressources
Voici quelques moyens de protéger les ressources du cyberespace :
1- Mise en place d’une politique de sécurité
- Définir des mots de passe forts et les changer régulièrement
- Installer des logiciels de sécurité et les mettre à jour régulièrement
- Effectuer des sauvegardes régulières
2- Utiliser des solutions de sécurité adaptées
- Antivirus et antispywares
- Pare-feu
- Systèmes de détection d'intrusion (IDS)
- Systèmes de prévention d'intrusion (IPS)
- Solutions de chiffrement des données
3- Gérer les accès aux ressources numériques
- Mettre en place un système de contrôle des accès en fonction des rôles
- Limiter l'accès aux données confidentielles
- Surveiller les activités des utilisateurs
4- Former les employés aux bonnes pratiques
- Sensibiliser aux risques informatiques et d’ingénierie sociale
- Former à l'utilisation des logiciels de sécurité
- Mettre en place des procédures de signalement des incidents
5- Se conformer aux réglementations en vigueur
- RGPD (Règlement Général sur la Protection des Données)
- Loi sur la cybersécurité
- Réglementations sectorielles
En plus de ces mesures générales, il est important de mettre en place des protections spécifiques pour chaque type de ressource numérique.