Comment sécuriser votre système d'information ?

Laurent Esposito

La sécurité est toujours au cœur des préoccupations des responsables informatiques : assurer la pérennité des données, protéger leur entreprise en cas de piratage, protéger leurs clients, leur marché et l’image de leur société face à leurs concurrents.

Face à ces enjeux, comment protéger votre système d’information ? Quels sont les moyens de protection que vous pouvez mettre en œuvre au sein de votre entreprise ?

L’objectif de cet article est de vous aider à vous poser les bonnes questions tout en vous partageant nos conseils et ce que nous avons mis en place au sein de Codéin pour :

  • garantir la sécurité de notre système d’information, et celle de nos clients
  • assurer une continuité de service
  • protéger nos données

Mais d’abord, commençons par définir ce qu’est la sécurité informatique

 

Définition de la sécurité des systèmes d’information

 

La sécurité des systèmes d’information est un terme très large qui peut parfois être ambigu. C’est pour cela que nous allons le définir comme suit.

Selon Techno-science.net : “La sécurité des systèmes d’information (SSI) est l’ensemble de mesures de sécurité physiques, logiques et administratives, et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer la protection de ses biens informatiques, la confidentialité des données de son système d'information et la continuité de service.”

La sécurité informatique est un processus. C'est-à-dire que de nombreux acteurs en interne doivent être impliqués pour que le processus soit un succès.

 

Alors, comment protéger votre système d'information ?

Chez Codéin, nous avons mis en place un Plan d'Assurance Sécurité (PAS) construit autour de 3 axes principaux :

Nous nous concentrerons dans cet article sur les deux premiers points, le dernier concernant l’infogérance de l’infrastructure fera l’objet d’un prochain article.

 

Sécurité des accès et protection des données, les questions à vous poser !

 

Où sont placés physiquement vos serveurs ?

Il est primordial de se poser la question de l’emplacement physique des serveurs :

  • Sont-ils sur un seul et même datacenter ? Ou plusieurs ? 
  • En France, en Europe ? Ailleurs ?
  • Quelle est la distance entre ces différents datacenters ?
  • Quelle est la politique de sécurité pratiquée par votre hébergeur ?

Chez Codéin, pour nos propres besoins, ou pour le besoin de nos clients, nous louons nos propres serveurs dédiés chez OVH. Ces serveurs sont situés dans divers datacenters répartis en France et éloignés géographiquement :

  • Gravelines
  • Roubaix
  • Strasbourg

Par ailleurs, la sécurité de l’accès aux infrastructures OVH est décrite ici :

https://www.ovh.com/fr/protection-donnees-personnelles/securite.xml

https://www.ovhcloud.com/fr/about-us/infrastructure-software/

 

Comment accède-t-on à vos serveurs ?

Vous devez vous assurer des mesures mises en place pour accéder physiquement aux machines serveurs, mais pas seulement, à quelles procédures d’authentification faut-il se conformer pour avoir accès à vos serveurs ?

 

Accès physique aux serveurs

Reprenons le cas de Codéin. Comme évoqué ci-dessus, nos serveurs sont localisés dans les datacenters d'OVH. L'accès physique aux serveurs d'OVH est régi par des conditions listées ici (de 11 à 15 inclus).

https://www.ovh.com/fr/protection-donnees-personnelles/securite.xml#accordion_1872-11

 

Accès logique : bonnes pratiques

Le contrôle d’accès aux serveurs peut être réalisé par le filtrage à certaines adresses IP.

 

Clé SSH

 

Chez Codéin, nous utilisons le protocole SSH pour accéder à nos serveurs.Tous les accès d’administration aux serveurs sont sécurisés et chiffrés via le protocole SSH. Les accès SSH sont filtrés par adresse IP :

  • adresses IP des agences Codéin
  • adresses IP des bastions Codéin

L’authentification SSH par mot de passe est désactivée. La seule méthode d’authentification pour l’accès aux serveurs par les administrateurs Codéin est l’authentification par clé SSH.

Codéin utilise par défaut un bastion SSH qui permet de rebondir vers les plateformes de ses clients. Ce bastion est accessible via SSH et authentification par clé. Il est installé avec le système d’exploitation “OpenBSD”, une distribution Linux réputée pour ses mécanismes de sécurité.

Comme nous gérons l'hébergement de serveurs de nos clients, nous avons mis en place des méthodes sécurisées pour permettre l’accès client à son application :

  • Accès Back-office chiffré (https) et filtré par adresses IP dans le cas où le client peut fournir un listing d’adresses.
  • Accès SFTP par mot de passe ou clé SSH et filtré par adresses IP.

 

Vos postes de travail sont-ils protégés ?

Enfin, dernier point relatif à la sécurité des accès et à la protection des données, il s'agit de la sécurisation des postes de travail de l'ensemble des collaborateurs.
L'objectif est de sécuriser vos données et celles de vos clients en cas de vol ou perte de l'ordinateur et de protéger la connexion aux serveurs.

Voici pour l'exemple nos propres pratiques :

Tous les collaborateurs de Codéin utilisent un poste de travail répondant aux critères suivants :

  • Distribution Linux avec un support de sécurité actif (Ubuntu LTS, Debian Stable).
  • Installation entièrement chiffrée. En cas de vol, les disques des postes de travail sont illisibles sans la phrase de passe personnelle qui permet de déchiffrer les données. Une solution pouvant être satisfaisante dans le cadre de l'anonymisation des données de production lorsque nous devons les récupérer sur nos environnements de développement. Le chiffrage des disques est également une solution alignée sur le RGPD.
  • Clé SSH avec passphrase.
  • Verrouillage automatique des postes.

Au-delà des accès à vos serveurs, se pose maintenant la question des outils utilisés par l’ensemble de vos collaborateurs. 

 

Les outils internes

Quels sont les outils internes utilisés au sein de votre entreprise ? Où sont stockées les données de vos clients ?

Commencez par identifier tous les logiciels utilisés : listez chaque logiciel, son utilité, les données qu'il stocke, comment on y accède et qui gère les accès.

Les données de vos clients sont certainement stockées sur un ou plusieurs logiciels (ERP, Inbound, Suite Google, CRM ou autres).

Voici les premières questions à vous poser :

  • Où sont stockées vos données ainsi que celles de vos clients ?  Sur un logiciel ou plusieurs ?
  • Ces outils bénéficient-ils de mises à jour régulières ? Sont-ils sujets à des politiques de sauvegarde ?
  • Sont-ils accessibles via des comptes nominatifs et un accès sécurisé (https) ?
  • Où sont-ils hébergés ?
  • Peut-on s'y connecter en mode télétravail ? L'accès aux ressources est-il filtré par adresse IP ?
  • Qui sont les personnes habilitées à créer des accès pour ces solutions ?

Afin de garantir la sécurité des outils internes, la mise en place d'un gestionnaire de mot de passe tel que Passbolt est recommandée.

En effet, trop d'entreprises consignent leurs mots de passe dans des fichiers excels, des wikis, et en cas de vol de données, l'ensemble des mots de passe peut alors être récupéré.

Le gestionnaire de mots de passe Passbolt

Chez Codéin, nous utilisons le gestionnaire de mot de passe Passbolt.

Logo Passbolt

En utilisant ce gestionnaire, tous les mots de passe sont stockés sur une instance de “Passbolt”. L’outil utilise des clés GPG pour chiffrer les mots de passe et permet de partager ces mots de passe de manière sécurisée au sein de nos équipes.
L’outil a été audité plusieurs fois : https://www.passbolt.com/security

 

Avant de conclure cet article, un dernier point lié à la sécurité des accès vaut la peine d'être abordé :

 Comment accède-t-on à vos locaux ?

La sécurité de votre système d'information commence par l'accès physique à votre entreprise.

  • Peut-on accéder facilement à vos locaux ?
  • Faut-il badger ?
  • Y a-t-il un digicode ?

Tous ces critères se doivent d'être pris en compte lors de la sécurisation d'un site. En effet, un accès physique facile peut déboucher sur une intrusion à distance !

Chez Codéin, nous avons 2 agences, l'une à Montpellier et l'autre à Strasbourg.

À Montpellier, les locaux sont situés au 2ᵉ étage d'un immeuble. Une carte magnétique est nécessaire pour l’accès à l’escalier ainsi qu’aux ascenseurs. La carte est également nécessaire pour accéder à l’étage de Codéin et ne permet pas d’accéder à d’autres étages. D’autres entreprises peuvent être présentes au même étage que celui de Codéin. Les locaux de Codéin sont entièrement cloisonnés et fermés à clé après le départ du dernier collaborateur.

À Strasbourg, les locaux sont situés au 2ᵉ étage d'un immeuble. Une clé interdite à la reproduction permet d’accéder aux bureaux. L’accès à la cage d’escalier est protégé par digicode.

 

Nous avons vu les questions à se poser et les procédures que l’on peut mettre en place pour sécuriser les accès à vos locaux, à vos serveurs, aux postes de travail et aux données de vos clients. 

Nous verrons dans un prochain article comment assurer une continuité de service à travers une infogérance de qualité et la protection de votre infrastructure logicielle !

Pour ne pas manquer la sortie de notre prochain article, n’hésitez pas à vous abonner à notre newsletter.

Si vous avez besoin de conseils concernant la sécurité de votre système d’information ou besoin d’auditer votre SI, n’hésitez pas à nous contacter !

Besoin d'auditer la sécurité de votre SI ? Contactez-nous!
Besoin d'auditer la sécurité de votre SI ? Contactez-nous!

A lire aussi

Comment Codéin anticipe ce qui ne devait jamais arriver !
Découvrez nos bonnes pratiques pour protéger votre infrastructure sur cloud ...
Voir tous les articles