Comment renforcer la sécurité des systèmes d’information ? Les 42 mesures proposées par l’Anssi

#Sécurité 27.02.2017 3min

2016 aura été l’année de tous les records en termes de cyberattaques. Et les perspectives pour 2017 ne sont pas particulièrement encourageantes. Alors que la protection des systèmes d’information et des données est au cœur des priorités des entreprises, l’Anssi (Agence Nationale de la Sécurité des Systèmes d’Information) propose une nouvelle version de son guide d’hygiène informatique. Au programme, 42 mesures incontournables pour permettre aux professionnels de renforcer la sécurité de leurs infrastructures et ainsi prévenir toute attaque informatique.

Le guide est né d’un constat. « Si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence aurait pu être évitée ». Le bilan de l’autorité nationale en matière de sécurité est sans appel.

Se protéger tout en s’adaptant à la législation

Aujourd’hui, plus aucune entreprise ou organisation n’est à l’abri. Les attaques informatiques se multiplient et elles sont de plus en plus sophistiquées. Il est urgent qu’elles renforcent leurs dispositifs de protection d’autant que de nouvelles réglementations – notamment au niveau européen – les exposent à de lourdes amendes si elles ne mettent pas tout en œuvre pour protéger les données de leurs clients. Pour éviter tout incident, elles peuvent se référer au guide d’hygiène informatique proposé par l’Anssi.

« La sécurité n’est plus une option. A ce titre, les enjeux de sécurité numérique doivent se rapprocher des préoccupations économiques, stratégiques ou encore d’image qui sont celles des décideurs. En contextualisant le besoin, en rappelant l’objectif poursuivi et en y répondant par la mesure concrète correspondante, ce guide d’hygiène informatique est une feuille de route qui épouse les intérêts de toute entité consciente de la valeur de ses données ». Anssi

Une menace qui évolue

Une première version de ce guide de bonnes pratiques a vu le jour en 2013. A l’époque, il comprenait 40 mesures à mettre en place au sein des entreprises. La version 2017 a fait l’objet d’une mise à jour portant à la fois sur les technologies et pratiques – nouvelles ou croissantes – avec lesquelles il s’agit de composer en matière de sécurité. Pour y parvenir, les auteurs du guide ont pris en considération l’évolution de la menace et des enjeux auxquels les entreprises sont confrontées. « Pour que le numérique demeure un espace de liberté, d’échanges et de croissance, il est nécessaire que la confiance et la sécurité y soient établies et défendues », a commenté l’Agence.

La sécurité, l’affaire de tous

Parmi les nouveautés du guide 2017, on pourra souligner l’importance de la formation et de la sensibilisation. En 2013, cette question arrivait en 12ème position. Aujourd’hui, elle arrive en tête des recommandations de l’Anssi. Au sein d’une entreprise, tous les collaborateurs sont concernés par la sécurité. Former les équipes opérationnelles à la sécurité des systèmes d’information est une priorité. Il est impératif également de sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité.

« Par ailleurs, une nouvelle génération d’experts en sécurité informatique devra être formée pour répondre aux exigences de la société numérique », a précisé l’Agence.

Garder le contrôle

Le guide d’hygiène informatique insiste également sur le fait que, pour garantir la sécurité de son système d’information, une entreprise doit absolument maîtriser les équipements qui s’y connectent. « Chacun constitue un point d’entrée potentiellement vulnérable ». Les équipements personnels (ordinateurs portables, tablettes, Smartphones, etc) sont par définition difficilement maîtrisables dans la mesure où ce sont les utilisateurs qui décident de leur niveau de sécurité. L’Anssi recommande donc de n’autoriser que la connexion de terminaux maîtrisés par l’entreprise.

« Cette recommandation, avant tout d’ordre organisationnel, est souvent perçue comme inacceptable ou rétrograde. Cependant, y déroger fragilise le réseau de l’entité et sert les intérêts d’un potentiel attaquant », prévient cependant l’Anssi. « La sensibilisation des utilisateurs doit donc s’accompagner de solutions pragmatiques répondant à leurs besoins ».

Privilégier des produits et services qualifiés

Par ailleurs, l’Agence recommande également de privilégier l’usage de produits et services qualifiés par ses soins. « La qualification prononcée par l’Anssi offre des garanties de sécurité et de confiance aux acheteurs de solutions listées dans les catalogues de produits et de prestataires de services qualifiés que publie l’Agence ». Oodrive, le partenaire de confiance pour la gestion des données sensibles, travaille aujourd’hui avec l’Anssi dans le cadre de la phase expérimentale de qualification sur le référentiel SecNumCloud.

 

L’intégralité du guide de l’hygiène informatique de l’Anssi

Image © Negativespace