10 July , 2018

Plan de Sécurité de l'Information en Entreprise

L'Institut national de la statistique et des études économiques (INSEE) a publié en 2016 une enquête qui montre le retard des petites entreprises françaises en matière de sécurité informatique.

La majorité des entreprises ne sont pas conscientes du danger auquel elles s’exposent et négligent par conséquent leur système de protection. Souvent, les petites entreprises considèrent qu’elles ne sont pas assez grandes ou importantes pour intéresser les voleurs d’informations… et pourtant, d’après une étude réalisée par Symantec, 77% des cyberattaques ayant touché la France en 2014 ont ciblé des petites et moyennes entreprises (PME) et la tendance devrait se poursuivre à la hausse en 2017.

La plupart des PME recueillent et conservent des données confidentielles sur leurs salariés, leurs clients et leurs activités. Les voleurs d’information sont friands de ce genre de données qu’ils revendent sur le darknet ou utilisent pour commettre des actes d’usurpation d’identité et autres infractions. Ces comportements à risques sont notamment dus à un manque d’information sur les différents enjeux de la cyber sécurité et sur les méthodes de protection qui existent, parfois simples et peu coûteuses.
Selon l’institut Ponemon, pour les PME, le coût d’une fuite de données, suite à un vol d’actifs d’information, s’élève en moyenne à 787 065 €. Certaines entreprises ne s’en remettent d’ailleurs jamais et déposent le bilan suite à l’attaque qu’elles ont subi.

Pourquoi toutes les petites entreprises ont besoin d’un plan de sécurité de leurs informations et comment le mettre en place ?

7 mesures essentielles pour créer un plan de sécurité de l’information
  • Ne pas négliger les dangers sur la sécurité de l'information
    En France, à l'exception des grands groupes, toutes les entreprises sous-estiment les risques et l’ampleur de cyberattaques et ne dédient pas de budget pour protéger leurs données. Des pratiques « à risque » se développent au sein des PME, venant amplifier la perméabilité de l’information. Mettez au point un plan de sécurité de l’information avec des procédures claires et faciles à appliquer par le personnel. Amorcez une culture de sécurité au bureau notamment avec des messages de sensibilisation.
  • Évaluer les risques éventuels sur la sécurité de l'information
    Réaliser un état des lieux des données sensibles : Quelles sont les informations sensibles susceptibles d’intéresser les hackers ? Identifiez les lieux de stockage de vos données confidentielles et effectuez une évaluation des risques pour vous assurer du niveau de protection de vos données. Examinez les bases de données existantes pour repérer la présence d’éventuels bugs. Mettez en place un processus de gestion des données pour protéger vos informations de leur création à leur élimination.
  • Utiliser des dispositifs de protection de l'information
    Protégez tous vos appareils connectés (ordinateurs, smartphones, tablettes et autres équipements reliés au Web) en installant des pares-feu, ainsi que des logiciels de sécurité sur les navigateurs et les systèmes d’exploitation les plus récents. Sauvegardez régulièrement les données stratégiques et les stocker sous différents formats. Utilisez des gestionnaires de mots de passe pour stocker et chiffrer vos identifiants. Limitez l’accès à vos données en mettant en place différents niveaux de sécurité : tous les employés ne doivent pas avoir accès à l’ensemble des données (répertoires partagés et protégés – proxy sur le web pour limiter la navigation en ligne et ainsi les cookies et encrages des publicités souvent porteuses de virus).
  • Gérer les risques de “nomadisme” sur la sécurité de l'information
    Avec un usage de plus en plus fréquent de terminaux privés pour travailler (smartphones, tablettes ou ordinateurs portables), les employés sont souvent amenés à travailler et communiquer en dehors du réseau sécurisé de l’entreprise. Mettez au point une check-list de sécurité pour tous les appareils mobiles et assurez-vous qu’ils soient conforment aux règles de sécurité. Cryptez les données sur tous les appareils, évitez les accès Wifi publics. Dans vos locaux, prévoyez un accès wifi « invité » séparé pour vos clients ou visiteurs.  
  • Sensibiliser les équipes aux risques de piratage de l'information
    Sensibilisez les équipes aux risques de piratage pour favoriser la mise en place de bonnes pratiques dans leur quotidien. En effet, 80% des failles de sécurité sont liées à des erreurs humaines. Encouragez les employés à sécuriser leurs mots de passe par exemple. Formez-les aux risques des mails frauduleux et à l’usage des réseaux sociaux.
  • Placer la sécurité de l'information dans la stratégie d'entreprise
    Standardisez les dispositifs de sécurité de l’information et intégrez les aux règles de vie au travail. Par exemple, faites appel à un prestataire certifié de destruction de documents qui installera des conteneurs verrouillés pour recueillir les documents à détruire, de façon sécurisée. Une politique Shred-it All permet d’assurer la destruction sécurisée de tous vos documents. Mettez en place une politique du bureau propre afin que les informations confidentielles soient protégées lorsque les salariés quittent leur poste de travail. Repérez tous comportement inhabituel dans l’activité des salariés, pour détecter une éventuelle fraude interne.
  • Prendre des mesures préventives contre la corruption de l'information
    Automatisez les processus de sauvegarde des données afin que celles-ci soit effectuée régulièrement. Conservez les copies de sauvegarde dans différents endroits. Mettez au point un plan d’action à déployer en cas d’incident pour que tous les salariés sachent quels comportements adopter en cas de corruption du système.
Shred-it vous accompagne pour la sécurité de l’information

Pour savoir comment Shred-it peut protéger vos documents confidentielsarchives et disques durs,  contactez-nous et recevez gratuitement un devis et une évaluation de vos risques de sécurité.