Face aux multiples menaces qui pèsent sur les systèmes d'information, l'ANSSI propose aux entreprises un guide d'hygiène informatique composé de 40 règles à mettre en œuvre. L'objectif est simple : adopter enfin de bonnes pratiques pour limiter la casse en cas d'attaque informatique ou de tentative de vol de données confidentielles et sensibles.

Depuis sa création en 2009, l'Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié des recommandations relatives à la sécurité de GNU/Linux et des flux réseau (IPsec), avancé des conseils en cas d'attaques par déni de service et listé des démarches à suivre en cas d'intrusion sur un système d'information. L'agence a également publié un guide sur la cyber-sécurité des systèmes industriels.

40 règles pour sécuriser un système d'information

Avec l'ouverture des Assises de la sécurité, qui se déroulent du 3 au 6 octobre 2012 à Monaco, l'ANSSI a diffusé un guide (.pdf) d’hygiène informatique en entreprise regroupant "quelques recommandations simples" pour sécuriser efficacement les systèmes d’information et leurs données. Ces conseils, au nombre de 40, sont susceptibles d'évoluer, dans la mesure où l'agence a lancé un appel à commentaires sur le guide.

Pour aider les sociétés à appliquer ces recommandations, l'ANSSI met également à disposition une checklist (.pdf) listant toutes les mesures contenues dans le guide avec un système de suivi : une case pour noter l'échéance à laquelle la tâche devra être appliquée et trois cases dédiées à l'avancée de sa mise en place : réalisée, en cours, planifiée. Car l'objectif final, c'est évidemment que ces règles soient toutes respectées.

C'est le message qu'a ainsi martelé le directeur de l'ANSSI, Patrick Pailloux, à l'ouverture des Assises 2012. "Ces 40 règles doivent toutes être appliquées systématiquement, partout. Appliquer ces 40 règles garantira à vos systèmes d’information une meilleure résilience face aux cyber-attaques, et donc protégera l’entreprise qui vous fait confiance pour sa sécurité informatique".

Ne plus chercher d'excuses

"Mon objectif dans cette affaire est simple. Je ne veux plus qu’il soit possible de me dire : « on ne savait pas quoi faire, c’est compliqué, mon pauvre monsieur si vous saviez, on n’a pas la compétence ». Il va désormais y avoir une liste publique de vérifications à faire, de mesures simples à prendre, compréhensibles par presque tout le monde et, c’est une certitude, par tous les informaticiens", a-t-il poursuivi.

"Ceux qui n’auront pas appliqué ces mesures ne pourront s’en prendre qu’à eux-mêmes", a mis en garde Patrick Pailloux. Car la sécurité en informatique ne repose pas sur un seul acteur : chacun doit adopter de bonnes pratiques : cela ne rendra pas un système d'information invulnérable, mais ça rehaussera globalement sa sécurité et assurera sa résilience grâce à des mécanismes de redondance.

Il est autorisé d'interdire

Patrick Pailloux s'est également attardé sur la différence de traitement qu'il faut avoir entre l'utilisation de l'informatique dans un cadre privé et dans un cadre professionnel. "Je vais vous dire ma vision des choses : il faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information. […] La sécurité c’est aussi avoir le courage de dire non".

  • non on ne travaille pas avec son terminal privé,
  • non on ne connecte pas un terminal contrôlé par un tiers,
  • non on n’installe pas le dernier joujou à la mode,
  • non je ne mets pas les données de mon entreprise dans le Cloud gratuit,
  • non je ne mets pas au même endroit mes données sensibles et les autres,
  • non je ne laisse pas mon ordinateur connecté si je ne suis pas là,
  • non je ne peux pas, depuis ma chambre d’hôtel, accéder à mes données sans un dispositif de sécurité,
  • non je ne vais pas au restaurant en laissant mon portable avec des données sensibles dans ma chambre d’hôtel,
  • non je n’envoie pas par mail des informations très sensible…

Non, mais…

Une politique sévère ? Assurément. Mais c'est au chef d'entreprise d'assumer cette politique et de l'expliquer à ses employés. Ce qui n'empêche pas de chercher des alternatives et de les mettre en œuvre, lorsque c'est possible.

"Face à l’interdiction, il faut d’une part, expliquer les raisons de ces contraintes , et d’autre part, lorsque la demande correspond à un réel besoin (et non à une envie), trouver et expliquer la façon, certes sans doute moins conviviale, d’arriver au même résultat", a-t-il ajouté, concluant sur ce point en précisant "qu'en fait, la bonne réponse n’est pas non, c’est non mais".

Partager sur les réseaux sociaux

Articles liés