change de nom...
La sécurité est toujours au cœur des préoccupations des responsables informatiques : assurer la pérennité des données, protéger leur entreprise en cas de piratage, protéger leurs clients, leur marché et l’image de leur société face à leurs concurrents.
Face à ces enjeux, comment protéger votre système d’information ? Quels sont les moyens de protection que vous pouvez mettre en œuvre au sein de votre entreprise ?
L’objectif de cet article est de vous aider à vous poser les bonnes questions tout en vous partageant nos conseils et ce que nous avons mis en place au sein de Codéin pour :
Mais d’abord, commençons par définir ce qu’est la sécurité informatique
La sécurité des systèmes d’information est un terme très large qui peut parfois être ambigu. C’est pour cela que nous allons le définir comme suit.
Selon Techno-science.net : “La sécurité des systèmes d’information (SSI) est l’ensemble de mesures de sécurité physiques, logiques et administratives, et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer la protection de ses biens informatiques, la confidentialité des données de son système d'information et la continuité de service.”
La sécurité informatique est un processus. C'est-à-dire que de nombreux acteurs en interne doivent être impliqués pour que le processus soit un succès.
Alors, comment protéger votre système d'information ?
Chez Codéin, nous avons mis en place un Plan d'Assurance Sécurité (PAS) construit autour de 3 axes principaux :
Nous nous concentrerons dans cet article sur les deux premiers points, le dernier concernant l’infogérance de l’infrastructure fera l’objet d’un prochain article.
Il est primordial de se poser la question de l’emplacement physique des serveurs :
Chez Codéin, pour nos propres besoins, ou pour le besoin de nos clients, nous louons nos propres serveurs dédiés chez OVH. Ces serveurs sont situés dans divers datacenters répartis en France et éloignés géographiquement :
Par ailleurs, la sécurité de l’accès aux infrastructures OVH est décrite ici : https://www.ovh.com/fr/protection-donnees-personnelles/securite.xml https://www.ovhcloud.com/fr/about-us/infrastructure-software/ |
Vous devez vous assurer des mesures mises en place pour accéder physiquement aux machines serveurs, mais pas seulement, à quelles procédures d’authentification faut-il se conformer pour avoir accès à vos serveurs ?
Reprenons le cas de Codéin. Comme évoqué ci-dessus, nos serveurs sont localisés dans les datacenters d'OVH. L'accès physique aux serveurs d'OVH est régi par des conditions listées ici (de 11 à 15 inclus). https://www.ovh.com/fr/protection-donnees-personnelles/securite.xml#accordion_1872-11 |
Le contrôle d’accès aux serveurs peut être réalisé par le filtrage à certaines adresses IP.
Chez Codéin, nous utilisons le protocole SSH pour accéder à nos serveurs.Tous les accès d’administration aux serveurs sont sécurisés et chiffrés via le protocole SSH. Les accès SSH sont filtrés par adresse IP :
L’authentification SSH par mot de passe est désactivée. La seule méthode d’authentification pour l’accès aux serveurs par les administrateurs Codéin est l’authentification par clé SSH. Codéin utilise par défaut un bastion SSH qui permet de rebondir vers les plateformes de ses clients. Ce bastion est accessible via SSH et authentification par clé. Il est installé avec le système d’exploitation “OpenBSD”, une distribution Linux réputée pour ses mécanismes de sécurité. Comme nous gérons l'hébergement de serveurs de nos clients, nous avons mis en place des méthodes sécurisées pour permettre l’accès client à son application :
|
Enfin, dernier point relatif à la sécurité des accès et à la protection des données, il s'agit de la sécurisation des postes de travail de l'ensemble des collaborateurs.
L'objectif est de sécuriser vos données et celles de vos clients en cas de vol ou perte de l'ordinateur et de protéger la connexion aux serveurs.
Voici pour l'exemple nos propres pratiques : Tous les collaborateurs de Codéin utilisent un poste de travail répondant aux critères suivants :
|
Au-delà des accès à vos serveurs, se pose maintenant la question des outils utilisés par l’ensemble de vos collaborateurs.
Quels sont les outils internes utilisés au sein de votre entreprise ? Où sont stockées les données de vos clients ?
Commencez par identifier tous les logiciels utilisés : listez chaque logiciel, son utilité, les données qu'il stocke, comment on y accède et qui gère les accès.
Les données de vos clients sont certainement stockées sur un ou plusieurs logiciels (ERP, Inbound, Suite Google, CRM ou autres).
Voici les premières questions à vous poser :
Afin de garantir la sécurité des outils internes, la mise en place d'un gestionnaire de mot de passe tel que Passbolt est recommandée.
En effet, trop d'entreprises consignent leurs mots de passe dans des fichiers excels, des wikis, et en cas de vol de données, l'ensemble des mots de passe peut alors être récupéré.
Chez Codéin, nous utilisons le gestionnaire de mot de passe Passbolt.
En utilisant ce gestionnaire, tous les mots de passe sont stockés sur une instance de “Passbolt”. L’outil utilise des clés GPG pour chiffrer les mots de passe et permet de partager ces mots de passe de manière sécurisée au sein de nos équipes.
L’outil a été audité plusieurs fois : https://www.passbolt.com/security
Avant de conclure cet article, un dernier point lié à la sécurité des accès vaut la peine d'être abordé :
La sécurité de votre système d'information commence par l'accès physique à votre entreprise.
Tous ces critères se doivent d'être pris en compte lors de la sécurisation d'un site. En effet, un accès physique facile peut déboucher sur une intrusion à distance !
Chez Codéin, nous avons 2 agences, l'une à Montpellier et l'autre à Strasbourg. À Montpellier, les locaux sont situés au 2ᵉ étage d'un immeuble. Une carte magnétique est nécessaire pour l’accès à l’escalier ainsi qu’aux ascenseurs. La carte est également nécessaire pour accéder à l’étage de Codéin et ne permet pas d’accéder à d’autres étages. D’autres entreprises peuvent être présentes au même étage que celui de Codéin. Les locaux de Codéin sont entièrement cloisonnés et fermés à clé après le départ du dernier collaborateur. À Strasbourg, les locaux sont situés au 2ᵉ étage d'un immeuble. Une clé interdite à la reproduction permet d’accéder aux bureaux. L’accès à la cage d’escalier est protégé par digicode. |
Nous avons vu les questions à se poser et les procédures que l’on peut mettre en place pour sécuriser les accès à vos locaux, à vos serveurs, aux postes de travail et aux données de vos clients.
Nous verrons dans un prochain article comment assurer une continuité de service à travers une infogérance de qualité et la protection de votre infrastructure logicielle !
Pour ne pas manquer la sortie de notre prochain article, n’hésitez pas à vous abonner à notre newsletter.
Si vous avez besoin de conseils concernant la sécurité de votre système d’information ou besoin d’auditer votre SI, n’hésitez pas à nous contacter !