Clusir Drôme Ardèche - Sécuriser l'information dans les pme - bonnes pratiques
1. Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
SECURITE DE L’INFORMATION ET
TPE / PME
Une approche pragmatique et
opérationnelle
24 avril 2013
2. Une approche théorique complexe
compliquée
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Long, lourd, onéreux, inadapté
Donc peu appliquée
24 avril 2013
3. Une connaissance empirique à
exploiter et à valoriser
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Emergence de pratiques
• Expérience humaine
• Forgée par les contraintes opérationnelles
• Éprouvée par le temps et les évènements
• Révélatrice d’une réalité opérationnelle
• Principes fondateurs d’une sécurité robuste et
efficace
24 avril 2013
4. Inverser l’approche
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• S’appuyer sur l’existant pour construire la
politique
• Le mieux accepté
• Issu de l’expérience opérationnel
• Le moindre effort
24 avril 2013
5. Structure de « l’étude »
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Axes d’observation
– Architecture
– Usages
• Typologie
– Minimaliste
– classique
24 avril 2013
6. Architecture
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Box
– Accès internet et messagerie
– Plutôt portable
– Tout embarqué
• Routeur
– Serveur
– Accès distant
24 avril 2013
7. Usages
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• « Pack office »
– Internet, messagerie, bureautique,
• « pack metier »
– Logiciel métier
– Communications spécifiques (pilotage de
machine, transferts de fichiers, plans, …)
24 avril 2013
8. Situations
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
OFFICE METIER
BOX
ROUTEUR
24 avril 2013
• Extrême variabilité
ELLES REMPLISSENT LEUR OFFICE
Interventions non traumatisantes
10. Les grands absents
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• La charte informatique
• La fiche de suivi matériel
• Procédures d’accueil et de départ
• Test de restauration des sauvegardes
• Check list préventive
24 avril 2013
11. Les erreurs
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• DAF = DSI (voire rssi)
• La charte
– Recopiée
– Prestataire info
• Mauvaise évaluation du PRA (ou absence)
• pas de mots de passe, mots de passes
partagés, sauvegarde aléatoire,
24 avril 2013
12. La charte informatique
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Contrat
• Encadre et fixe les limites
• Outils de sensibilisation
• Protège l’employeur
• Sécurise en organisant
• Évolutif
• Un document spécifique et non transférable
• Définir les sanctions
• Informer sur les moyens de contrôle
• Ne pas s’opposer au droit
• Ne peut se faire sans une analyse des usages et des risques
24 avril 2013
13. D’une sécurité efficace à une sécurité
efficiente
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Questions initiales
• Un peu d’organisation
• Les indicateurs
• Les choix techniques
• Quelques outils complémentaires
24 avril 2013
14. Les questions initiales
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Qu’est ce qui est important pour moi (criticité des
données ou des services)
• Qu’est ce qui ne doit pas être divulgué
• Qu’est ce qui ne doit pas être perdu
• Est-ce que je peux remonter mes données
– En combien de temps
– Est-ce que j’en suis sur
• Quels sont mes vrais besoins de disponibilité
• Qui a le droit d’accéder à quoi (en interne, en
externe)
24 avril 2013
15. Organisation
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Cloisonner les visiteurs
• Classer les informations
• Un peu de documentation pratique
– Schémas; plan de sauvegarde; mots de passe;
règles d’usage
• Classifier les informations
• Contrôler les points d’entrée
24 avril 2013
16. Indicateurs
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Subjectifs
• Compréhension de la SSI
• Rapports de disfonctionnement
• Indice de satisfaction
• Facilité sélective d’accès aux ressources
Objectifs
• Application des procédures de sauvegarde
• Apparition d’extension d’arborescence
• Affichage de mots de passe
• Révision des règlements
• Rapports antivirus et logs
24 avril 2013
17. Clés pour les meilleurs choix
techniques
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Simplicité d’emploi
Solutions éprouvées et connues
Acceptabilité des contraintes
Compréhension du produit
Paramétrabilité
Contrôle sur l’administration distante
24 avril 2013
18. Solutions complémentaires
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Cryptographie
Contrôle des ports
Machine de décontamination
Formation / Sensibilisation
(« une bonne journée de formation contribue fortement à la fiabilité du système »)
24 avril 2013
19. Bonnes pratiques élémentaires
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Discrétion pendant le travail extérieur
Contrôler les médias entrants
Local informatique fermé, rangé et dédié
Analyse des logs
24 avril 2013
20. 24 avril 2013
Bonnes pratiques supplémentaires
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Cryptographie
Analyse des logs