La sécurité des données, pour beaucoup de confrères en SSII ou de gérants de PME, c’est souvent résumée à des backups à gogo, plus ou moins surveillés et puis c’était tout !!! En caricaturant les pratiques de la  profession et les seules craintes des dirigeants,  j’en dénonce mieux le choc produit par la révélation de PRISM; la surveillance mondialisé des systèmes d’information mal protégés. Ce choc n’a pas encore été bien pris en compte. Pourquoi ? Parce qu’un système mal protégé est plus facile a géré et plus facile à utiliser !!!

J’utilise Google parce que c’est simple et performant

; voilà le type de réponse que l’on peut entendre et qui justifie le manque de sécurisation de pas mal de parc informatique, ou alors le gérant se substituant à l’informaticien, implante des systèmes  non sécurisés.

Ce dossier aura donc pour but et vocation de changer les mauvaises habitudes d’implémentation de l’informatique en PME, pour les grands groupes c’est déjà fait depuis longtemps…enfin je l’espère.

Le réseau :

L’intrusion via internet reste une préoccupation majeure même si le réseau local n’est pas forcément ce qui est le moins protégé à priori, mais celui-ci peut être compromis par les pratiques courantes des sous-traitants.
Il suffit donc de s’intéresser un temps soit peu aux techniques des hackers, pour comprendre qu’un système pour être pénétré est tout d’abord scanné pour en extraire le maximun d’informations, de ports ouverts, des versions tournant sur les matériels, puis cracké en utilisant une faille de sécurité connue d’un système non mis à jour par exemple. Mes recommandations sont multiples et finalement simple à mettre en oeuvre à l’installation d’une infrastructure :

• un routeur PME (cisco small business, draytek vigor, zyxell…) derrière une box ou sans elle, son firewall activé avec aucun port d’ouvert. Oui ce fameux port 3390 ouvert qui permet de gérer pas mal de serveurs en TSE est à absolument à proscrire !!!
• la mise en place d’un VPN pour les connexions au réseau local depuis l’extérieur ou la maintenance TSE. Avec le VPN, on peut faire du TSE sans avoir besoin d’ouvrir le 3390.
• Un wifi avec un réseau entreprise dont on change la clé WPA compliquée régulièrement et enfin un réseau invité dans VLAN indépendant pour les clients externes.
• des VPNs pour des réseaux inter-sites, agences
• Mise à jour des firmwares des équipements.

Le Web :

L’explosion du web, du cloud, des moteurs de recherche permettent à toute PME de faire n’importe quoi sur ce nouveau média :

• l’entreprise, souvent identifiée par une IP externe fixe devient une cible connue pour l’extérieur et surveillable.
• les collaborateurs doivent faire leurs recherches via STARTPAGE.com qui est un des seuls moteurs de recherche qui s’engage sur la confidentialité. Ainsi les recherches de l’entreprise ne sont utilisées par Google pour profiler l’entreprise, faire de l’intelligence économique en agrégant toutes les recherches faites par celle-ci, qui peuvent dans un domaine concurrentiel, donner des pistes à vos adversaires. PRISM révélé, c’est aussi de l’espionnage économique et toutes données sont bonnes à prendre. Connexion  https aussi.
• Que le cloud et l’hébergement de données soit en France , les mots de passe de longueur et complexité importante pour toutes les backoffices des sites webs(wordpress…), les cloud de fichiers, d’appli.
• mise à jour des versions cdns, wordpress pour éviter du vol de données et du défaçage.
• htaccess, index.php et droits corrects sur les fichiers du site web.
• héberger les applis PHP sensibles en interne, plutôt que sur internet
• surveiller les limites d’indexation des fichiers avec du robots.txt
• certains outils online permettent de scanner et d’auditer vos vulnérabilités.
• accès messagerie web via SSL.

Les serveurs :

Les serveurs internes semblent mieux protégés des attaques que l’on n’imaginent que provenant que de l’extérieur :

•  un bon backup est un backup humainement surveillé. Trop de serveurs crashent avec un backup qui ne fonctionnait plus depuis plusieurs semaines.
• encryptage BITLOCKER sur le serveur, en cas de vol du serveur.
• Encryptage 7zip AES256 par exemple sur le backup.
• Serveur de format rackable, qui s’emporte moins bien qu’une simple tour. Ils en existent qui tiennent dans un rack 19″ réseau, moins profond.
• pas de compte qui n’appartienne pas à quelqu’un de l’entreprise. Mise à jour des droits avec les départs. Audit annuel.
• mise à jour régulière de l’os.
• surveillance par mail vers les admins, des backups, raids, espace disponible . Soit avec les applis internes , ou du Zabix.

Les postes de travail et mobiles :

Les nomades qui utilisent des portables sont une population à risques, même si un poste fixe se vole aussi :

• Ordinateur portable avec windows 8.1 pro ou 7 entreprise pour activer le bitlocker. En cas de vol ou perte , aucune données accessible.
• verrouillage automatique des sessions
• clé usb, disques durs externes sécurisés, encryptés avec mot de passe par clavier par exemple
• mise à jour des antivirus
• cables antivols pour ralentir les voleurs sur portables et fixes.
• mot de passe sur mobiles, mot de passe en plus sur accès cloud depuis le mobile.

Avec le numérique , plus aucun secret d’entreprise qui ne soient consignés dans un document électronique( à part la recette de coca-cola), donc tout ça doit donc être mis sous contrôle. Un vol peut-être intentionnel, surtout pour une entreprise évoluant dans un secteur de pointe concurrentiel.

Ce guide sera mis à jour progressivement avec des liens vers des outils de controle, d’audit entre autres.